URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 133429
[ Назад ]
Исходное сообщение
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя"
Отправлено opennews , 16-Апр-24 11:54 
В PuTTY, клиенте для протокола SSH, пользующегося популярностью на платформе Windows, выявлена опасная уязвимость (CVE-2024-31497), позволяющая воссоздать закрытый ключ пользователя, сгенерированный с использованием алгоритма ECDSA с эллиптической кривой NIST P-521 (ecdsa-sha2-nistp521). Для подбора закрытого ключа достаточно проанализировать примерно 60 цифровых подписей, сформированных проблемным ключом...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60998

Содержание
Сообщения в этом обсуждении
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:10 
Беспечностью, ну да, верим.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено анон , 16-Апр-24 12:23 
Трудно, наверное, жить без теорий заговора в голове? Здесь самая банальная ситуация сегодняшнего дня - программисты пишут код с элементами криптографии, но саму криптографию, даже в той части, где пишут, они не знают.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:33 
Математики вам напишут на Python или OCaml. Но вам же это не понравится.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено IdeaFix , 16-Апр-24 13:01 
я тоже так думал, но мне математики приносили R и скалу... питон ничо так по сравнению.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:10 
R-ом пользуются статисты, а не математики. Математики вообще, любят функци-анальщину, Скала именно такая.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено User , 17-Апр-24 06:59 
> R-ом пользуются статисты, а не математики.

И настоящие шотландцы. Да.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:03 
Самое забавное что знание криптографии нужно именно атакующему. Благонадежный программист без знания криптографии сделал бы вме нормально.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Sw00p aka Jerom , 17-Апр-24 08:53 
> Самое забавное что знание криптографии нужно

особенно рансомвейршикам :)

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:58 
Коммитер xz тоже просто беспечно закоммитил все в это верят. Не мамонты не истребимы.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено anonymplusplus , 16-Апр-24 13:34 
Коммитер xz слишком беспечно закоммитил, непрофессионально.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено нах. , 16-Апр-24 16:36 
> саму криптографию, даже в той части, где пишут, они не знают.

потому что ее понимают (а не "знают") вообще три человека во всем мире.

Что является лишним поводом никогда не пользоваться сомнительными криптоалгоритмами с неведомыми никому кроме тех троих спецэффектами.

В нимодных нисисюрных rsa keys - неожиданно проблемы нет. А на самом деле - очень даже ожидаемо.


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено n00by , 16-Апр-24 18:00 
RSA точно так же из-за weak PRNG подбирали в ASProtect. Там вообще стояла rand().
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:12 
Я считаю, что вот это:

>Для ECDSA и DSA качество генератора псевдослучайных чисел и полное покрытие случайными данными >параметра, используемого при вычислении модуля, имеет принципиальное значение, так как определение >даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по >последовательному восстановлению всего закрытого ключа.

является не очевидной, но серьезной уязвимостью алгоритма ECDSA, т.к в Linux, например, энтропия набирается из разных мест, и если одно из таких мест...по невнимательности конечно ;)...станет отдавать нули, то незаметно для всех, криптостойкость превратится в тыкву.
По этой причине от таких "чувствительных" алгоритмов надо бы отказываться.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено нах. , 16-Апр-24 19:35 
там больной вопрос в том что дело не в самом ключе а в процедуре его создания - оно банально слишком сложное.

С обычным DSA напороться сложнее потому что алгоритм во-первых сам по себе проще, во-вторых хорошо разобран и его надо уже специально стараться сделать плохо, основные грабли за четверть века собраны (хотя наверное в любом случае уже нехорошо такие ключи использовать для авторизации).

Они все в какой-то мере чувствительны (как афтырь кода с прибитым гвоздем initrandom отвественно заявляю), и rsa тоже, но не все превращаются в полную тыкву от девяти ноликов. Ну придется NSA задействовать не шесть суперкластеров а всего два чтоб взломать твой никому не нужный сервер - какая тебе разница? У них может и двадцать найдется.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Прадед , 17-Апр-24 02:50 
Я не в теме, но однажды один бухой бывший владелец кибер секьюрити фирмы поведал что Рид Соломон давно признался что в РСА с самого начала был бэкдор (что только добавляет сока этому алгоритму), это можно сказать было частью тз.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено PnD , 17-Апр-24 11:47 
Во-во. DSA со временем вычитали/вылизали. И после факапа дебианщиков (ЕМНИП) даже примерно известно, за чем надо смотреть. Из-за этого "тупо" не вломить. А если портить RNG на уровне ОС, это слишком быстро замечают. (Но не обязательно. Последняя реализация в linux таки вызывает некие вопросы…)

Что же делать? А делов-то. Объявляем что все RSA вот-уже́-завтра будут вскрывать квантовые вычислители. (Ну ок, в RSA так-то полно мутных артефактов. А при чём здесь DSA? — Да вы достали! Его тоже депрекейтим, потому что обнаружен фатальный недостаток.)
И вуаля! Имеем новую пачку мутных алгоритмов. Або не як у моска^W RSA.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено нах. , 17-Апр-24 12:09 
> И после факапа дебианщиков (ЕМНИП) даже примерно известно, за чем надо смотреть.

там и до было известно - за попытками "оптимизации" того что работает. (в том случае еще круче - не оптимизация а warning ослое6у помешал)

> Да вы достали! Его тоже депрекейтим, потому что обнаружен фатальный недостаток.

давно уже - его включить-то специальной пляской и жертвоприношением последний раз уже можно (в следующей версии обещали сломать совсем)

Ведь NSA МОЖЕТ подобрать твой ключ, как ты нипанимаишь! (правда ей придется сперва взломать сервер, чтобы получить к чему подбирать, но это белок-истеричек вовсе и не волнует)

Ну вот теперь зато любой васян может, без всякой nsa, пое6да жеж!
И еще не забывайте регулярно использовать ключи не по назначению - вот комиты какие-то в гитляпе и шитхапе не забывайте подписывать именно ключом для удаленного доступа и никак иначе.


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 15:28 
А в каких алгоритмах шифрования не используется рандом? Всем нужен рандом.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 16:47 
Как говорил нам преподаватель выч.алгебры на парах по криптографии "если вам пришла в голову идея написать свой вариант криптоалгоритма, то лучше не надо")
Хотя хартблид будет отличным контраргументом.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Прадед , 17-Апр-24 02:46 
Он имел ввиду что придут люди и очень вежливо попросят.
Пазакону низзя
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Sw00p aka Jerom , 17-Апр-24 08:59 
поэтому нет Карацуб в области крипты?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 18-Апр-24 08:26 
Они, эти хреновы погромисты-художники (от слова худо), где нибудь (хоть на заборе) написали, что они так видятЪ!
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 08:20 
После интервью Дурова, что его БР заставляло использовать open source библиотеки в коде, сразу начинаешь я задумываться, а не нарочно ли это было сделано.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Sw00p aka Jerom , 17-Апр-24 09:01 
вы еще березовского послушали бы, нашли кого слушать (фейспалм)
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено нах. , 17-Апр-24 12:12 
> После интервью Дурова, что его БР заставляло использовать open source библиотеки в
> коде, сразу начинаешь я задумываться, а не нарочно ли это было
> сделано.

Интервью-то? Конечно нарочно. Новое звание само себя не заслужит.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:23 
По поводу WinSCP на офсайте нет 6.3.3 а вот 6.3.2 имеется
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:30 
Казалось бы, объявить NIST P-521 deprecated из-зы высокой чувствительности к качеству энтропии. Но NIST кого надо алгоритмы.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:24 
Так любая криптография чувствительна к качеству энтропии. По такой логике всё депрекейтить надо тогда.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено pavlinux , 17-Апр-24 13:08 
> Так любая криптография чувствительна к ...

В XOR-шифрах ваще нет энтропии, внезапно.    

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 18-Апр-24 10:30 
У вас может и нет, а у других есть. Внезапно.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено pavlinux , 19-Апр-24 13:18 
> У вас может и нет, а у других есть.

Чо? КрыптоАНАЛитик?

txt:  1000000000001
key: 1000000000001
xor: 0000000000000

Где, 6лë, тут энтропия?


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:33 
> оставшиеся 9 бит
> первые 9 бит вектора инициализации всегда принимали нулевые значения

Не очень понятно.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:37 
Видимо, важными посчитали старшие биты, а биты с 0 по 8-й занулили.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:00 
Что они хотели от этого выиграть ты хоть сам понимаешь? Да я тебе даже скажу выиграть время на пользование уязвимостью отрицательного дня.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:46 
Оно не слишком эксплуатируемое, в самом распространенном сценарии использования проблем нет. А вот зазеваться и перепутать при вводе 512 и 521 очень легко, а 512 еще и круглое число.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 14:35 
Так это и хорошо что не очень эксплуатируемая. Это наоборот показатель мастерства. В этом и смысл чтобы только кто надо мог пользовать и только для нужных целей. Был бы там дефолтный пароль или что-то из этой оперы это уже совсем другое.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 17:56 
Предложи причины, по которым я стал бы подключаться к твоему серверу со своим ключом (напомню, это PuTTY, не OpenSSH - ключ нужно *специально* указать в настройках).
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 18:41 
Потому что в инструкции так написано. При том что сама инструкция злонамеренного написана мной. Ещё вопросы есть?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено нах. , 16-Апр-24 18:48 
разьве что - удобно ли тебе вынимать твою инструкцию свернутую трубочкой и засунутую тебе туда куда ты подумал?

Никому не нужен твой сервер вместе с твоими инструкциями.

Более того - даже если на секундочку предположить что аж прям неимоверно нужен и прям настолько что не вызовет очевидного вопроса - какого тут это вот - зачем тебе закрытый ключ от твоего собственного сервера? (я вот их частенько там и храню, в куче - поскольку если кто-то получил доступ к лежащему в .ssh закрытому ключу от этого самого сервера - он ему уже нахрен был не нужен)
Потому что никто разумеется не собирается этот ключ произведенный по странной инструкции какого-то долбанавтика владельца сервера использовать где-то еще.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено fuggy , 17-Апр-24 15:47 
Это ж надо додуматься сделать ключ 521 бит. Тут наоборот, коммит с 512 не вызвал бы подозрения, а с 521 вызвал.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:53 
Могу только предположить, что выигрыш заключался в исползовании целого числа байтиков для хранения вектора из 512 бит. Конкретно под него надо ровно 64 байта. А для 521 бит надо, понимаешь ли, уже 65 байт! И один байт будет использован не полностью :( :)
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 18-Апр-24 10:32 
66 вообще-то
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Прадед , 17-Апр-24 02:59 
Полагаю трюк в том, чтобы заранее знать значение первых битов вектора
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Максим , 16-Апр-24 12:38 
PuTTY никогда не нравился, хоть и открытый. SecureCRT лучше.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:42 
Ssh из пакета Msys2 внушает больше доверия.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:51 
ssh.exe вроде в десяточке штатно идёт
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Pahanivo , 16-Апр-24 14:34 
кому он нужен?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 00:09 
ИТ хоть и кишит разнообразными девиациями, далеко не каждый тут линукс-фетишист, готовый на что угодно ради своего фетиша. Некоторым просто работу работать надо.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Pahanivo , 17-Апр-24 13:37 
> ИТ хоть и кишит разнообразными девиациями, далеко не каждый тут линукс-фетишист, готовый
> на что угодно ради своего фетиша. Некоторым просто работу работать надо.

Да, много извращенцев ... видимо шибко удобно вбивать параметры коннекта вручную каждый раз когда у тебя десятки точек.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 12:51 
В винде есть консольный ssh, в точности как на линухе.
PuTTY хорошо только настраивать коммутаторы через COM-порт
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено mumu , 16-Апр-24 14:34 
Ещё штатный с прокси не работал, насколько я помню.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:00 
Штатный ssh.exe в винде это OpenSSH собранный с LibreSSL
Он умеет все что положено иметь OpenSSH его версии и не умеет то что не положено

>ssh -V                                                                                                                                                                                                                                                                                                  OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 01:15 
Шаринг коннектов через ControlMaster не работает
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 07:24 
Сломали при сборке?
Ну хорошо, что под виндой я не юзаю его
Для работы линуха, для игр винда стоит, из нее вывод версии и показал
Буду знать, спасибо, коллега
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 14:37 
Ком портами пользуются только комми.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено _kp , 16-Апр-24 16:21 
Сейчас putty чаще для сетевого доступа используется
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 14:09 
Плюсую, особенно визуально, что то из времен динозавров, в плохом смысле, и функционал как для домохозяек делали
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено anonymous , 16-Апр-24 20:15 
Ну да, ни тебе облаков, ни электрона, ни дизайна серым по серому, совсем беда.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:21 
Это просто шикарно! Это не просто ошибка, это откровенный дебилизм. И отбросьте эти теории про "неслучайную" уязвимость. Полагаю, что те люди, которые оставляют закладки, всё-таки немного поумнее.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 13:36 
весь софт делается неслучайно
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 14:03 
Пользователи BSD напряглись.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 14:46 
Годы идут, во всех BSD уже сто лет как kms, видеодрайверы в ядре, уже даже wayland работает, в каждой из них уже гипервизор, а шутки у троллей про BSD и Putty такие же и остались
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 14:51 
Причем даже во времена UMS драйверов, я юзал DesktopBSD (ныне уже покойная) и уже тогда мне эти шутки надоели
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 15:11 
Дааа....
Ты ещё скажи что там работает войфай. Особенно после спящего режима.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 15:17 
Какие-то работают, какие-то нет. У меня сетевуха с RJ45
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 15:18 
У человека, кроме того, посредством второй сигнальной системы условные рефлексы вырабатываются при таких условных раздражителях как — слово, речь ("сигнал сигналов").

Кек, да?

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено User , 17-Апр-24 07:06 
Ты еще скажи, что он в linux'е работает - "спящий режим", в смысле :)
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 16:29 
> Дааа....
> Ты ещё скажи что там работает войфай. Особенно после спящего режима.

Если линух типа опенврт в виртуалочке загрузить и туда сетевку пробросить, как советуют лучшие собаковеды... :)))

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено похнапоха. , 16-Апр-24 15:56 
А что там произошло с FreeBSD и Putty, что это прям какая-то тема, наподобие патча KDE под FreeBSD?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 16-Апр-24 16:05 
Да там в настройках PuTTY какое-то упоминание про Linux было — сейчас уже не могу найти скриншот, а сам я ей никогда не пользовался.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:56 
А через что же ты удалённо логинишься во FreeBSD?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:33 
Я думаю он логинится BSD-шным openssh'ем
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено mos87 , 17-Апр-24 06:44 
с под WSLя? это жы святотацтво
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 17-Апр-24 18:38 
> А через что же ты удалённо логинишься во FreeBSD?

% ssh -V
OpenSSH_9.7p1, OpenSSL 1.1.1w-freebsd  11 Sep 2023


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено mos87 , 17-Апр-24 06:46 
линуксой? нам-то не заливай
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 16:55 
В нулевых был такой стереотип, что бсдшники пользуются бсд только в virtualbox из под XP, и подключаются к ней через путти.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 17:09 
Оказавшийся констатацией факта в примерно каждом случае явления любителя бсд. Оно и понятно, Система, в которой ничего не работает, подходит не каждому.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 18:44 
Уязвимости тоже плохо работают. Получается что система безопасТная.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:37 
Самый прекл, что я и к линуксу так подключался, в те времена линукс был ничуть не лучше. А сейчас я на NetBSD и никакой винды у меня уже много-много лет нету. Вместо Putty - нативный openssh, к-й разрабатывается в BSD, кстати
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:51 
Ssh придумали уже после последнего выпуска BSD и ничего там не разрабатывали, конечно, но это детали.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:10 
Я говорил про OpenSSH, который разрабатывают OpenBSD'шники, которых линуксоиды называют PuTTY-exec'шниками
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:47 
Это те самые, которые про баги и уязвимости говорят "на нашей openbsd всё работает"? Так они ровно никакого отношения к BSD не имеют и никогда не имели.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:50 
Ты по-моему бредишь. Ок, это не UNIX(tm), но теперь уже и BSD не BSD?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:06 
Естественно, это не BSD и быть им не могло. В чём тут бред?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:20 
Ну хз что это тогда. Взяли BSDi, 4.4BSD, 386BSD и получилась не BSD, ok
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:34 
Ну, во-первых, первым делом переписали весь код, а, во вторых, логично же, что только BSD может быть BSD. Васяны не BSD.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:44 
Переписали спорные части, из-за которых at&t судилась, большая часть кода там осталась от оригинальной BSD из Беркли. И этот код там до сих пор есть
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:46 
Более не аутентично, всё.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 00:24 
OpenBSD имеет прмерно такое же отношение к OpenSSH, какое морские свинки имеют к свиньям и морю. Тео имеет возможность заниматься разработкой своей игрушечной ОС именно потому, что его основная работа — вовремя чинить OpenSSH, с приоритетом на совместимости с Линукс, с текущими флагманами IBM, и теперь вот ещё и Виндовс.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:04 
Уважаемые анонимы, подскажите, а LibreOffice для NetBSD существует?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:06 
https://pkgsrc.se/misc/libreoffice
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:16 
Тут бинарный пакет, если неохото из pkgsrc собирать - http://cdn.netbsd.org/pub/pkgsrc/packages/NetBSD/x86_64/10.0...
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:34 
> Оказавшийся констатацией факта в примерно каждом случае явления любителя бсд.

Я тебя расстрою, но прилежное опеннетное повторение из раза в раз, по принципу "Мы все так говорим! А значит это правда!" - никакой не факт.

А вот объявление "Year of the Linux Desktop" с макоси, как впрочем и пользование оной разрабами гнума или генты - имело таки место, причем совсем не в опеннетных комментах.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:43 
Я бы не доверил работу с проекторами и прочее подобное где куча людей ждёт от тебя результат сейчас линуксу. А ты опенбсд?

>разрабами гнума

тоже мне новость

>или генты

у Линуса тоже мак был емнип

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:51 
Дак для линуксоидов MS даже WSL аж две версии выпустила: WSL и WSL2. Чтоб они свою любимую Ubuntu больше не гоняли в Hyper-V, а запускали в винде,  так сказать, нативно (точнее все еще через гипер-в, но уже скрыто)
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 22:15 
Линуксоидам линукс на хосте предпочтительнее. WSL явно не для линуксоидов, мне не совсем понятна ЦА. А для любителей GNU cygwin уже вполне покрывает их все разумные хотелки.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 22:20 
> Линуксоидам линукс на хосте предпочтительнее

Это так не работает. Если bsd'шники  - путтиэкзешники, линуксоиды - wsl'ищики
А так-то и BSD'шникам на хоста их любимый вариант BSD предпочтительней

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 22:28 
Но линукс поддерживает практически любое вообразимое железо, кроме части узкоспециализированного, почему он не может быть на хосте? BSD же не поддерживает абсолютно ничего из современного. Но может быть некоторый смысл не использовать кривопортированные дрова из линукса в exbsd, идея запускать линукс в госте ради поддержки железа на хосте несколько не здоровая сегодня. В линуксе тоже раньше запускали драйвера из венды, получалось не очень в итоге. В такой ситуации, ОС, для которой драйвера имеются, предпочтительнее для хоста.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 17-Апр-24 19:18 
> Но линукс поддерживает практически любое вообразимое железо, кроме части узкоспециализированного,
> почему он не может быть на хосте? BSD же не поддерживает
> абсолютно ничего из современного.

Почему ты в этом убеждён?

Пишу с компа:
% dmesg | grep Ryzen
CPU: AMD Ryzen 9 3900X 12-Core Processor             (3800.18-MHz K8-class CPU)
% dmesg | grep nvidia
nvidia-modeset: Loading NVIDIA Kernel Mode Setting Driver for UNIX platforms  390.154  Wed Jun 22 04:42:19 UTC 2022
nvidia0: <GeForce GT 1030> on vgapci0
vgapci0: child nvidia0 requested pci_enable_io
vgapci0: child nvidia0 requested pci_enable_io
% dmesg | grep Samsung
nvd0: <Samsung SSD 970 EVO 250GB> NVMe namespace
% freebsd-version
13.3-STABLE
% cc --version
FreeBSD clang version 17.0.6 (https://github.com/llvm/llvm-project.git llvmorg-17.0.6-0-g6009708b4367)
Target: x86_64-unknown-freebsd13.3
Thread model: posix
InstalledDir: /usr/bin
% chrome --version
Chromium 123.0.6312.122

Что конкретно FreeBSD у тебя не поддержала?

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 20:22 
Так фряха и наименее бсд из всех эксбсд. Да и не совсем понятно что ты хотел сказать этой информацией. То, что некоторое доисторическое железо работает? Так другое доисторическое железо точно так же не работает. Звуковые/сетевые карты в ассортименте. И что там с ACPI? Я знаю, что: чтобы звуковая карта работала, надо сначала загрузиться в венду/линукс. То, что нет поддержки вулкана и вяленого? Нет CUDA? Используется древний устаревший шланг? Диск, TRIM в котором терял файлы и его заблеклистили в линуксе? Не понятно. Подтухший хромиум? А что там с софтом на электроне?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 17-Апр-24 21:34 
> Так фряха и наименее бсд из всех эксбсд. Да и не совсем
> понятно что ты хотел сказать этой информацией. То, что некоторое доисторическое
> железо работает? Так другое доисторическое железо точно так же не работает.
> Звуковые/сетевые карты в ассортименте. И что там с ACPI? Я знаю,
> что: чтобы звуковая карта работала, надо сначала загрузиться в венду/линукс. То,
> что нет поддержки вулкана и вяленого? Нет CUDA? Используется древний устаревший
> шланг? Диск, TRIM в котором терял файлы и его заблеклистили в
> линуксе? Не понятно. Подтухший хромиум? А что там с софтом на
> электроне?

Изучай, чем писать бред: https://www.freshports.org/


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 21:59 
А твои сообщения не бред? Я прекрасно осведомлён о существовании этой помойки, в которой регулярно ничего не компилируется и не работает и никто ни за то не отвечает. Но при чём тут она?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 18-Апр-24 08:27 
> Я прекрасно осведомлён о существовании этой помойки,

Эта "помойка" линуксячья. Потому что её пишут линуксоиды в основном. Всё ПО портируется на FreeBSD на 99% из инфрасруктуры разработки ("экосистемы") GNU и Linux.
Качество кода соответствующее.

> в которой регулярно ничего не компилируется и не работает

Сам пробовал или "вон тот" User294 напел?

> и никто ни за то не отвечает.

Ну хотя бы ты начни отвечать за свои слова. Начни с себя, так сказать.

> Но при чём тут она?

Да так — к слову пришлось об актуальности версий.
И, да, эта "помойка" превышает сборник ПО в любом репозитории Linux, а количество портеров ограниченно. Так что присоединяйся.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 18-Апр-24 08:36 
Софт в линуксовых репозиториях в основном рабочий. Если он нерабочий, это большая проблема для всех причастных. Есть конечно дистрибутивы в которых мейнтейнеры "компилируется значит работает" и "компилируется у меня значит работает", но это не норма.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 21:40 
https://discourse.llvm.org/t/llvm-17-0-6-released/75281
> 28.11.2023 — We are happy to announce that LLVM 17.0.6 is now released!

https://chromium.googlesource.com/chromium/src/+/123.0.6312.122
> Mon Apr 08 19:13:53 2024

...
> Используется древний устаревший шланг?
> Подтухший хромиум?

Остальная экспердиза примерно на таком же, унылом "уровне".

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 21:56 
И то и другое легаси ветки. Ну и кто тут "уныл"?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 18-Апр-24 00:23 
> Подтухший хромиум
>> 20.03.2024 14:26  Выпуск web-браузера Chrome 123
>> Следующий выпуск Chrome 124 запланирован на 16 апреля
> И то и другое легаси ветки. Ну и кто тут "уныл"?

Ты еще и любитель риторических вопросов?


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 18-Апр-24 07:58 
Посмотри на календарь.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено User , 17-Апр-24 07:10 
"Линуксойидам"(ТМ) понятно - а всем остальным, как правило - вот работать надо...
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 17-Апр-24 18:55 
> Система, в которой ничего не работает, подходит не каждому.

Просто надо научиться настраивать, тогда всё заработает. Это дано не каждому.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 19:55 
Ты хотел сказать научиться писать драйвера для своего оборудования и дописывать альтернативную функциональность во всём софте. Действительно, не каждому. Станет ли тратить своё время тот, кому "дано"? Зачем линукс понятно, а зачем недолинукс не очень. Остаётся только в качестве сомнительного фетиша.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено iZEN , 17-Апр-24 21:30 
> Ты хотел сказать научиться писать драйвера для своего оборудования и дописывать альтернативную
> функциональность во всём софте.

Для этого существуют специально обученные люди. Пользователь ничего не должен дописывать.

> Действительно, не каждому. Станет ли тратить своё
> время тот, кому "дано"? Зачем линукс понятно, а зачем недолинукс не
> очень. Остаётся только в качестве сомнительного фетиша.

Мне непонятна ниша Linux: все бизнес-системы завязаны на Windows, а Linux обосновался только в телефонах. Зачем вообще нужен Linux, если бы не Android?


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 22:01 
> Для этого существуют специально обученные люди. Пользователь ничего не должен дописывать.

А вот не дописали. Инженеры производителя не сделали поддержку, значит, теперь она целиком на покупателе оборудования.

> Мне непонятна ниша Linux: все бизнес-системы завязаны на Windows, а Linux обосновался
> только в телефонах. Зачем вообще нужен Linux, если бы не Android?

Да ну конечно.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Sw00p aka Jerom , 17-Апр-24 09:05 
подскажите как порт пробросить?
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:06 
>всех BSD уже сто лет как kms, видеодрайверы в ядре, уже даже wayland работает

А как там, Rust продвигают? А systemd?

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 20:16 
Неа, все ок
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 22:57 
про центос забыл
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Keys and bits at once , 16-Апр-24 14:04 
> В итоге, во всех закрытых ключах, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения.

Только не в "закрытых ключах", а именно в ECDSA nonce. В ECDSA при вычислении каждой подписи используется ещё один секретный параметр, кроме секретного ключа. Этот параметр и называется ECDSA nonce. Дефектные nonce, если накопить подписи, которые их использовали, позволяют раскрыть секретный ключ.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено mumu , 16-Апр-24 14:32 
Отличный комментарий! А то из новости создается впечатление, что разработчикам было лень написать одну цифру вместо другой. А тут целый дополнительный блок алгоритмов не задействован был. Но всё-равно в случайность таких событий верится в последнее время всё с большим трудом.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 18:12 
Есть подозрение, что питонисты такого бы не допустили. Потому что это базовые сведения и ошибиться невозможно. А вот настолько возможно ненамеренно ошибиться в случае с сабжем и задействованными компонентами, пусть расскажут причастные.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 16:44 
"во всех закрытых ключах, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения"

всегда генерил ключи на bsd-хосте, ssh-keygen'ом

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Keys and bits at once , 16-Апр-24 17:20 
> всегда генерил ключи на bsd-хосте, ssh-keygen'ом

Если использовать их в этой версии PuTTY, то ключи могут быть раскрыты.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 21:07 
Секретный ключ покинувший пределы холда на котором сгенерен считается скомпроментированным и использоваться больше не должен
Ты их генерил и выбрасывал что ли?
Интересная работа!
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 17:12 
Ошибка - не в Putty, а в генераторе.
Расслабьтесь и получайте удовольствие.
Кто писал заголовок - балбес!
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено RM , 16-Апр-24 19:26 
Изучай до просветления https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/...
> The problem is not with how the key was originally generated; it doesn't matter whether it came from PuTTYgen or somewhere else. What matters is whether it was ever used with PuTTY or Pageant.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:37 
Прочитал. Осознал.

В новости журналисты всё переврали:

должно быть не "достаточно проанализировать примерно 60 цифровых подписей, сформированных проблемным ключом"

а это: "The problem is not with how the key was originally generated; it doesn't matter whether it came from PuTTYgen or somewhere else. What matters is whether it was ever used with PuTTY or Pageant"

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 15:32 
Не очень понятно каких подписей сессионных или всего 60 неправильно сгенерированных ключей.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Rev , 16-Апр-24 17:18 
Значит хорошо, что я с RSA пока не перешёл на EC :)
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 19:09 
Неуловимый джо подошел незаметно к тебе сздани.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 16-Апр-24 18:52 
Хороший пример, что многие опасные и труднообнаружимые уязвимости не связаны с памятью.
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено YetAnotherOnanym , 16-Апр-24 22:20 
> определение даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа

Так это не авторы путти "беспечные", это алгоритм гнилой.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Sw00p aka Jerom , 17-Апр-24 09:12 
так все такие "гнилые", возьмите к примеру режим gcm и всякие "впн" решения на статическом ключе (квантум секур епта)
"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 16:26 
> так все такие "гнилые", возьмите к примеру режим gcm и всякие "впн" решения
> на статическом ключе (квантум секур епта)

Кривые от MSIT лучше вообще не использовать - так, после конфуза с фэйлом DualEC DRBG, оказавшимся не такиим уж и случайным. После чего сразу эн криптографов уделили внимание этим кривым и особого доверия творчество NIST у них не вызвало.

"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Sw00p aka Jerom , 17-Апр-24 18:33 
> после конфуза с фэйлом DualEC DRBG, оказавшимся не такиим уж и случайным.

а чья работа была?

> После чего сразу эн криптографов уделили внимание этим кривым и особого доверия творчество NIST у них не вызвало.

а почему NIST? Чья работа была? Кто предложил этот алгоритм? Все что вы знаете про современную "крипту" - разработаны в недрах всех этих "фэйловых" структурах.

пс: https://ru.wikipedia.org/wiki/Dual_EC_DRBG


"Уязвимость в PuTTY, позволяющая восстановить закрытый ключ п..."
Отправлено Аноним , 17-Апр-24 08:13 
Больше похоже на опечатку