- Sorra osztja a dollármilliárdokat az USA a chipgyártóknak
- Az Intel a legmodernebb chipgyártó géppel előzheti meg az egész szektort
- Leváltaná a Google a sütiket, de ez nem elég
- Nem igaz, hogy indiaiak működtetik az Amazon pénztármentes technológiáját
- Már azelőtt szoftvert írnak a chipekhez, hogy elindulna a gyártás
Új hozzászólás Aktív témák
-
#51736960
törölt tag
"kihasználásához nem kell okosnak, ügyesnek, vagy tanultnak lenni... a Hálózati Idő Protokollban (Network Time Protocol, NTP) található egy multiple stack buffer overflow hiba, amely lehetőséget ad a támadónak az ntpd jogosultságaival kódot futtatni távolról."
ez gyerekjátéknak hangzik, meg anyámnak is menne...
-
Sennalacy
aktív tag
Ok, szóval akkor ez most windows, linux, vagy kell-e bármit tennie egy felhasználónak ezek után? Alap dolgok nem derülnek ki a cikkből.
Pssszt, csendet kérek BIOS-t frissítek!
-
#65675776
törölt tag
válasz DrojDtroll #9 üzenetére
Minden olyan eszköz, ami neten keresztül frissíteni tudja az időt.
-
moleculez
veterán
MDMA-t használtam régen, de ezek az új cuccok nem ismerősök.😞 de mindegy is, látom veszélyesek...
Még nincs kész, de már majdnem elkezdtük!
-
-
válasz #65675776 #16 üzenetére
protokollban fogalmilag kizárt, hogy buffer overflow legyen. már csak azért is, mert protokollcsere nélkül javítani tudták, következésképp a protokoll egyébként rendben van.
a bug a protokoll szerveroldali megvalósításában, az ntpd-ben van (volt), lásd például:
"Multiple buffer overflow flaws were discovered in ntpd's crypto_recv(), ctl_putdata(), and configure() functions. A remote attacker could use either of these flaws to send a specially crafted request packet that could crash ntpd or, potentially, execute arbitrary code with the privileges of the ntp user. Note: the crypto_recv() flaw requires non default configurations to be active, while the ctl_putdata() flaw, by default, can only be exploited via local attackers, and the configure() flaw requires additional authentication to exploit."egyébként pedig az állításod ez volt:
"Minden olyan eszköz, ami neten keresztül frissíteni tudja az időt.": ami természetesen nem igaz, mert az ntp mellett van még 2-3 másik protokoll is, amivel időt lehet frissíteni, emellett ntp-n keresztül is lehet frissíteni ntpdate programmal időt. Ez utóbbi, mivel nem fut folyamatosan, nem támadható.ne keltsünk fölöslegesen pánikot.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
rt06
veterán
válasz #65675776 #16 üzenetére
akkor nagyon russzol nezed, mert a hiba az ISC ntp daemon-jaban (ntpd) talalhato (ez a time server, amirol meg te beszelsz, az az ntp kliens, az van minden idot halozarol frissito eszkozon, de azok ugysem hallgatoznak kifele, nem tamadhatoak - sot, ntpd sem feltetlen halgatozik, felhasznalastol fuggoen)
es bar az ISC (nem osszekeverend az ICS-sel) valoban nem szoftverfejleszto ceg, van nekik meg dhcp szerveruk/kliensuk, meg egy gagyi kis dns szerveruk is, ami bind neven terjed
[ Szerkesztve ]
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
rt06
veterán
-
Hiftu
senior tag
Ha már idő:
Az IOS meg régebben azt hiszem január 4-én nem ébresztett.
Az Android egyik verziójából hiányzott a november (vagy október?)
Ezzel az idővel csak a gond van.
Főleg a határidővel....Tessék mondani, lehet itt hazudni? - Kaszt: Decker, Faj: Troll, Működési Terület: Prohardver
-
DrojDtroll
addikt
Most látom, hogy frissítva lett a cikk.
Így már sokkal korektebb.
-
rt06
veterán
"A Microsoft termékeit a sebezhetőség elvileg nem érinti, a redmondiaknak saját NTP implementációjuk van. Ez persze nem zárja ki, hogy ott is megtalálható legyen a hiba."
megkerdezhetem, hogy itt a masodik mondat celja mi?
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
rt06
veterán
mire alapozva? ennyi erovel ramodhato barmire, hogy buffer overflow (vagy eppenseggel barmi egyeb sebezhetoseg, ami eppen a panikkelto szerzo eszebe jut) van benne
csak azert, mert egy konkret implementacio szar, nem jelentheto ki (megcsak sugallni sem kellene), hogy az osszes tobbi is az (kb olyan, mintha a shellshock kapcsan azzal jonne valaki, hogy a "dos parancssor" is sebezheto, hisz ugyanaz a ketto)Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
-
Sir Ny
senior tag
"(kb olyan, mintha a shellshock kapcsan azzal jonne valaki, hogy a "dos parancssor" is sebezheto, hisz ugyanaz a ketto)"
Helyesen latod. Egyaltalan nem nyilvanvalo egy laikus, de me'g egy szakmabeli szamara sem, hogy milyen programok mennyire hasonlitanak, mennyire egyeznek, mikbol mik kovetkeznek es mire lehet szamitani. A shellshock es a dos paranccsor hibai nagyon messze allnak egymastol, az NTP ket verzioja meg nagyon kozel all egymashoz.
Ezert tartjuk az ujsagirokat hogy megmondjak nekunk a frankot: elvileg nem erintett (ez a hir objektiv resze) de o tesz ra egy jelentekeny szazalekot hogy az (ez a szakujsagiras resze), tehat figyeljuk a hireket.
Nagyon helyes dolgokat irsz, nem teljesen ertem a fennakadasod. Az a resze nem tetszik hogy egy ujsagiro hozzateszi a magaet, vagy ugy veled hogy rosszul itelte meg? (azt is vedd figyelembe, hogy az a mondat hogy "a windows implementacioja elvileg nem erintett." hamis biztonsagerzetet ad, amit egy ujsagiro azert nem nagyon engedhet meg. Peldaul ennek merteket csokkenteni hivatott az a masodik mondat)
[ Szerkesztve ]
-
-
rt06
veterán
abban igazad van, hogy a bash es a cmd.exe messze all egymastol, eleg eros tulzas volt reszemrol (inkabb kellett volna mondani pl csh-t "dos parancssor" helyett), viszont fogalmunk sincs, milyen messze all egymastol a ket ntp szerver implementacio
az isc implementaciojarol tudunk sokmindent, mig az ms implementaciojarol pl meg tudja mondani neem milyen nyelven, milyen szabvanyokat kovetve irodott, mikent lett forditva? (es pont emiatt nem feltetlen jelent az sem semmit, hogy referencia implementaciorol van szo)es az a resze nem tetszik, ahogyan az itcafe-s ujsagirok hozza szoktak tenni a maguket, nem is ez az elso eset, hogy szot emelek ellene
ha meg akarja jegyezni, hogy lehet a masik (egyet random kiragadva a ki tudja mennyi implementacio kozul) szerver is szar, akkor vagy masszon bele jobban (onnantol lehet szakujsagirasrol beszeli), vagy erje be azzal, hogy a masik csak elvileg nem erintett, a totozast meg hagyja az olvasora, o maradjon a hirek forditasanalsajnos most nem a sajat gepemnel vagyok, nem tudom megneni pontosan, hogy mi volt a hiba, s mikent javitottak, de jovoheten ezt potlom
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
-szp-
aktív tag
Tekintve, hogy a Microsoft saját implementációt használ, ezért az alapvető álláspont az, hogy az MS termékek nem érintettek.
Azt azonban hogy biztosan nem, nem mondhatjuk ki. Hogy akkor minek említettem meg? azért, mert fontos tudni, hogy a két megoldás más. Abba pedig nem fog belehalni az MS rendszerek gazdája sem, ha csinál egy ellenőrzést, esetleg ha kell, megteszi a szükséges lépéseket.Igazat adok neked abban, hogy a hír eredetileg nem a Windowsról szólt. Viszont ti kérdeztétek, hogy ki érintett...
<!-- Hello tourist on the right side, hello tourist on the left side -->
-
tekintve, hogy nem tudni, az ms implementációja mennyiben tér el a referencia implementációtól, így azt kijelenteni, hogy az ms verzió nem érintett, alap nélküli. ha az ms is ntp protokollt használ, kb. nulla értelme lenne magát a protokollt újra leprogramozni, meg pénzkidobás. annak van értelme, hogy az oprendszerbeli különbségek miatt átírják a szükséges részeket.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz #65675776 #31 üzenetére
nem megy neked ez az ntp dolog, ne forszírozd.
miből gondolod, hogy az apple kliens oldali "os"-eket frissít? ha a macos-en/ios-on azért van ntpd, hogy a rádugott kütyük arról a gépről tudjanak pontos időt beállítani, akkor az szerveroldali szoftver.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-szp-
aktív tag
Sokkal egyszerűbben közelítettem meg: azt tudjuk hogy van nekik saját megoldásuk, azt pedig nem, hogy milyen. Kértünk hivatalos választ, ezt eddig nem kaptam meg. A TechNeten sem mernek sokkal bátrabban nyilatkozni, mint én tettem a hírben.
<!-- Hello tourist on the right side, hello tourist on the left side -->
Új hozzászólás Aktív témák
- EAFC 24
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- TCL LCD és LED TV-k
- Máris megrendelték a Fallout TV sorozat második szezonját
- Synology NAS
- Autós topik
- Robogó, kismotor
- Anglia - élmények, tapasztalatok
- Bestbuy játékok
- Már nem az Apple a világ legnagyobb mobilgyártója
- További aktív témák...
- 16" Apple Macbook Pro Retina 2019 Touch Bar + Toch ID eladó! Intel Core i7, 16GB RAM, 512GB SSD!
- Hamilton Aviation Khaki X Patrol Auto Chrono ETA 7750 automata óra! Full set!
- IPhone 12 Pro 128GB gyári független 2026. 01.18. Telekom garancia akku 100%
- HUAWEI Band 8 aktivitásmérő (fekete), keveset használt, karcmentes kijelző
- 96GB (2x48GB) Crucial Pro DDR5 kit/ új, bontatlan/