OpenForum RSS: Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода https://m.opennet.me/openforum/vsluhforumID3/136646.html В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63099<br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Нуину) https://m.opennet.me/openforum/vsluhforumID3/136646.html#91 Mon, 21 Apr 2025 22:09:19 GMT &gt; Обоснуй, на каком основании.<br><br>Если коротко, то анализ рыночных котировок. <br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136646.html#90 Mon, 21 Apr 2025 20:25:05 GMT &gt; Эти противники абстракций такие классные, так уверенно рассказывают что они не <br>&gt; нужны, хотя без них давно уже ничего не способны сделать. <br><br>В абстракциях главное - уметь вовремя остановиться. Иначе бесконечность сожрет мозг, и ушедший в матрицу - будет навсегда потерян для всех остальных, соревнуясь с секундной стрелкой - и генеря "нечто", которое никому кроме него даром не упало.<br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136646.html#89 Mon, 21 Apr 2025 20:22:58 GMT &gt; Жёстко. Надеюсь, никого из сишников это не оскорбит.<br><br>Большая часть сишников как раз просты и прямолинейны как рельса, сложные абстракции надо сначала сгородить, так что они где-то в хвосте этого шит-парада.<br><br>Конечно и там можно найти что-нибудь этакое. Скажем GObject или что-то такое. Ну так GTK программы и дохнут только в путь, часто переписываясь на куть. Ибо если что-то такое хотелось, лучше уж сразу плюсы взять.<br><br>А вот плюсовики - таки могут конкретно разогнаться. Но это не сишка. И вот там можно уже откушать крутых и нестандартных абстракций. И те из програмеров кто не смог вовремя остановиться - познают все факапы хаскелистов и прочих эзотериков. Но обычно плюсеры все же более сбалансированы и понимат когда пора остановиться.<br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136646.html#88 Mon, 21 Apr 2025 20:14:36 GMT &gt; Потому что конкретно эта бага как-раз в куске, который делали как проще,<br>&gt; избегали переусложнения. Но оказывается чтоб тут писать и меинтейнить надо было<br>&gt; держать в голове все условия, в которых этот "простой" код запускается, <br>&gt; что уже не так легко.<br><br>Честно говоря - на обычный бэкдор похоже. Очень уж тупой баг.<br><br>&gt; А вот хотя бы разделили бы код на две части - до аутентификации и после, <br>&gt; усложнили бы, но уязвимость вообще бы не возникла.<br><br>Или - взяли бы готовую либу от других и не выделывались бы. Если уж упрощать. Там такие детские баги - если и были то пофикшены сто лет назад. Но не, NIH покусал. И хорошо если только NIH, а не деньги от вон тех, например.<br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (аноним43481234) https://m.opennet.me/openforum/vsluhforumID3/136646.html#87 Sun, 20 Apr 2025 15:37:04 GMT Вот вот. Писать без абстракций - это жонглировать регистрами и указателями на ассемблере. <br><br>Он без абстракций даже hello world не напишет, просто потому что ему придется отказаться от ядра, операционки, всех библиотек и концепций вроде переменных, констант и прочего. <br><br>Эти противники абстракций такие классные, так уверенно рассказывают что они не нужны, хотя без них давно уже ничего не способны сделать. <br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136646.html#86 Sun, 20 Apr 2025 07:09:43 GMT Обоснуй, на каком основании.<br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Нуину) https://m.opennet.me/openforum/vsluhforumID3/136646.html#85 Sat, 19 Apr 2025 20:16:30 GMT &gt;&gt; А хваленый Codepilot не смог найти?<br>&gt; А что будет через <br>&gt; пару лет...<br><br>Кризис будет экономический через 3 года примерно, вот что будет.<br><br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136646.html#84 Sat, 19 Apr 2025 17:33:14 GMT &gt; А хваленый Codepilot не смог найти?<br><br>Составлять правильные prompts это наука. Уже сейчас этому начали обучать в том же Гарварде (пока что в факультативном режиме). А что будет через пару лет...<br> Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо... (Пустотеев) https://m.opennet.me/openforum/vsluhforumID3/136646.html#83 Sat, 19 Apr 2025 12:49:27 GMT &gt; ... которым абстракции покруче дай ...<br>&gt; ... то что потом эти какахи майнтайнить вообще никто не хочет ...<br><br>Забавно читать такое именно в этом топике. <br><br>Потому что конкретно эта бага как-раз в куске, который делали как проще, избегали переусложнения. Но оказывается чтоб тут писать и меинтейнить надо было держать в голове все условия, в которых этот "простой" код запускается, что уже не так легко.<br><br>А вот хотя бы разделили бы код на две части - до аутентификации и после, усложнили бы, но уязвимость вообще бы не возникла.<br><br>