- WordPress tartalom kezelő rendszer (CMS)
- ArchiCAD és Artlantis topik
- Rossz üzlet az EV-kölcsönzés
- Adobe Lightroom topic
- Van, amit nehéz lett megtalálni a Google keresőjével
- Kínában túl sok az EV, fokozódik az árháború
- Crypto Trade
- Megrendszabályozza a Pornhubot az EU
- A személyre szabott reklám lehet a streaming következő slágere
- Programozás topic
Új hozzászólás Aktív témák
-
#51736960
törölt tag
"kihasználásához nem kell okosnak, ügyesnek, vagy tanultnak lenni... a Hálózati Idő Protokollban (Network Time Protocol, NTP) található egy multiple stack buffer overflow hiba, amely lehetőséget ad a támadónak az ntpd jogosultságaival kódot futtatni távolról."
ez gyerekjátéknak hangzik, meg anyámnak is menne...
-
Sennalacy
aktív tag
Ok, szóval akkor ez most windows, linux, vagy kell-e bármit tennie egy felhasználónak ezek után? Alap dolgok nem derülnek ki a cikkből.
Pssszt, csendet kérek BIOS-t frissítek!
-
#65675776
törölt tag
válasz DrojDtroll #9 üzenetére
Minden olyan eszköz, ami neten keresztül frissíteni tudja az időt.
-
moleculez
veterán
MDMA-t használtam régen, de ezek az új cuccok nem ismerősök.😞 de mindegy is, látom veszélyesek...
Még nincs kész, de már majdnem elkezdtük!
-
-
válasz #65675776 #16 üzenetére
protokollban fogalmilag kizárt, hogy buffer overflow legyen. már csak azért is, mert protokollcsere nélkül javítani tudták, következésképp a protokoll egyébként rendben van.
a bug a protokoll szerveroldali megvalósításában, az ntpd-ben van (volt), lásd például:
"Multiple buffer overflow flaws were discovered in ntpd's crypto_recv(), ctl_putdata(), and configure() functions. A remote attacker could use either of these flaws to send a specially crafted request packet that could crash ntpd or, potentially, execute arbitrary code with the privileges of the ntp user. Note: the crypto_recv() flaw requires non default configurations to be active, while the ctl_putdata() flaw, by default, can only be exploited via local attackers, and the configure() flaw requires additional authentication to exploit."egyébként pedig az állításod ez volt:
"Minden olyan eszköz, ami neten keresztül frissíteni tudja az időt.": ami természetesen nem igaz, mert az ntp mellett van még 2-3 másik protokoll is, amivel időt lehet frissíteni, emellett ntp-n keresztül is lehet frissíteni ntpdate programmal időt. Ez utóbbi, mivel nem fut folyamatosan, nem támadható.ne keltsünk fölöslegesen pánikot.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
rt06
veterán
válasz #65675776 #16 üzenetére
akkor nagyon russzol nezed, mert a hiba az ISC ntp daemon-jaban (ntpd) talalhato (ez a time server, amirol meg te beszelsz, az az ntp kliens, az van minden idot halozarol frissito eszkozon, de azok ugysem hallgatoznak kifele, nem tamadhatoak - sot, ntpd sem feltetlen halgatozik, felhasznalastol fuggoen)
es bar az ISC (nem osszekeverend az ICS-sel) valoban nem szoftverfejleszto ceg, van nekik meg dhcp szerveruk/kliensuk, meg egy gagyi kis dns szerveruk is, ami bind neven terjed
[ Szerkesztve ]
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
rt06
veterán
-
Hiftu
senior tag
Ha már idő:
Az IOS meg régebben azt hiszem január 4-én nem ébresztett.
Az Android egyik verziójából hiányzott a november (vagy október?)
Ezzel az idővel csak a gond van.
Főleg a határidővel....Tessék mondani, lehet itt hazudni? - Kaszt: Decker, Faj: Troll, Működési Terület: Prohardver
-
DrojDtroll
addikt
Most látom, hogy frissítva lett a cikk.
Így már sokkal korektebb.
-
rt06
veterán
"A Microsoft termékeit a sebezhetőség elvileg nem érinti, a redmondiaknak saját NTP implementációjuk van. Ez persze nem zárja ki, hogy ott is megtalálható legyen a hiba."
megkerdezhetem, hogy itt a masodik mondat celja mi?
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
rt06
veterán
mire alapozva? ennyi erovel ramodhato barmire, hogy buffer overflow (vagy eppenseggel barmi egyeb sebezhetoseg, ami eppen a panikkelto szerzo eszebe jut) van benne
csak azert, mert egy konkret implementacio szar, nem jelentheto ki (megcsak sugallni sem kellene), hogy az osszes tobbi is az (kb olyan, mintha a shellshock kapcsan azzal jonne valaki, hogy a "dos parancssor" is sebezheto, hisz ugyanaz a ketto)Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
-
Sir Ny
senior tag
"(kb olyan, mintha a shellshock kapcsan azzal jonne valaki, hogy a "dos parancssor" is sebezheto, hisz ugyanaz a ketto)"
Helyesen latod. Egyaltalan nem nyilvanvalo egy laikus, de me'g egy szakmabeli szamara sem, hogy milyen programok mennyire hasonlitanak, mennyire egyeznek, mikbol mik kovetkeznek es mire lehet szamitani. A shellshock es a dos paranccsor hibai nagyon messze allnak egymastol, az NTP ket verzioja meg nagyon kozel all egymashoz.
Ezert tartjuk az ujsagirokat hogy megmondjak nekunk a frankot: elvileg nem erintett (ez a hir objektiv resze) de o tesz ra egy jelentekeny szazalekot hogy az (ez a szakujsagiras resze), tehat figyeljuk a hireket.
Nagyon helyes dolgokat irsz, nem teljesen ertem a fennakadasod. Az a resze nem tetszik hogy egy ujsagiro hozzateszi a magaet, vagy ugy veled hogy rosszul itelte meg? (azt is vedd figyelembe, hogy az a mondat hogy "a windows implementacioja elvileg nem erintett." hamis biztonsagerzetet ad, amit egy ujsagiro azert nem nagyon engedhet meg. Peldaul ennek merteket csokkenteni hivatott az a masodik mondat)
[ Szerkesztve ]
-
-
rt06
veterán
abban igazad van, hogy a bash es a cmd.exe messze all egymastol, eleg eros tulzas volt reszemrol (inkabb kellett volna mondani pl csh-t "dos parancssor" helyett), viszont fogalmunk sincs, milyen messze all egymastol a ket ntp szerver implementacio
az isc implementaciojarol tudunk sokmindent, mig az ms implementaciojarol pl meg tudja mondani neem milyen nyelven, milyen szabvanyokat kovetve irodott, mikent lett forditva? (es pont emiatt nem feltetlen jelent az sem semmit, hogy referencia implementaciorol van szo)es az a resze nem tetszik, ahogyan az itcafe-s ujsagirok hozza szoktak tenni a maguket, nem is ez az elso eset, hogy szot emelek ellene
ha meg akarja jegyezni, hogy lehet a masik (egyet random kiragadva a ki tudja mennyi implementacio kozul) szerver is szar, akkor vagy masszon bele jobban (onnantol lehet szakujsagirasrol beszeli), vagy erje be azzal, hogy a masik csak elvileg nem erintett, a totozast meg hagyja az olvasora, o maradjon a hirek forditasanalsajnos most nem a sajat gepemnel vagyok, nem tudom megneni pontosan, hogy mi volt a hiba, s mikent javitottak, de jovoheten ezt potlom
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
-szp-
aktív tag
Tekintve, hogy a Microsoft saját implementációt használ, ezért az alapvető álláspont az, hogy az MS termékek nem érintettek.
Azt azonban hogy biztosan nem, nem mondhatjuk ki. Hogy akkor minek említettem meg? azért, mert fontos tudni, hogy a két megoldás más. Abba pedig nem fog belehalni az MS rendszerek gazdája sem, ha csinál egy ellenőrzést, esetleg ha kell, megteszi a szükséges lépéseket.Igazat adok neked abban, hogy a hír eredetileg nem a Windowsról szólt. Viszont ti kérdeztétek, hogy ki érintett...
<!-- Hello tourist on the right side, hello tourist on the left side -->
-
tekintve, hogy nem tudni, az ms implementációja mennyiben tér el a referencia implementációtól, így azt kijelenteni, hogy az ms verzió nem érintett, alap nélküli. ha az ms is ntp protokollt használ, kb. nulla értelme lenne magát a protokollt újra leprogramozni, meg pénzkidobás. annak van értelme, hogy az oprendszerbeli különbségek miatt átírják a szükséges részeket.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz #65675776 #31 üzenetére
nem megy neked ez az ntp dolog, ne forszírozd.
miből gondolod, hogy az apple kliens oldali "os"-eket frissít? ha a macos-en/ios-on azért van ntpd, hogy a rádugott kütyük arról a gépről tudjanak pontos időt beállítani, akkor az szerveroldali szoftver.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-szp-
aktív tag
Sokkal egyszerűbben közelítettem meg: azt tudjuk hogy van nekik saját megoldásuk, azt pedig nem, hogy milyen. Kértünk hivatalos választ, ezt eddig nem kaptam meg. A TechNeten sem mernek sokkal bátrabban nyilatkozni, mint én tettem a hírben.
<!-- Hello tourist on the right side, hello tourist on the left side -->
Új hozzászólás Aktív témák
- HP Probook 340S G7 i5-1035G1/8GB/256SSD/Windows 11 -10% Csak ameddig a készlet tart!89.780 Ft
- iPhone 14 Pro 128 GB Space Black, 11 hónapos, kártyafüggetlen, 2024. május végéig garis , akku 91%
- Asus VivoBook X509JA-BQ904T
- HP EliteBook 640 G9 Ezüst (14" / Intel i5-1235U / 16GB / 512GB SSD / Win 11 Pro) -10% Most 203.990 F
- Lenovo M810z AIO Core I5 6400 4x2700/8GB/120G SSD/wifi/cam 21,5 -10% 66.950 ft