2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

ニュース、ML キチガイリスト 6 人目

546 :名無しさん@カラアゲうまうま:02/06/26 13:19
もともとの Theo のアナウンス日本語訳:
http://www.koka-in.org/%7Eharuyama/ssh_koka-in_org/0/4.html

以下、freebsd-securityでのやりとり:

Jason DiCioccio: で、FreeBSD には触れられてないけど、どうなのよ?

Matt Piechota: 誰か「バグの中心にいる人」報告してくんない?

Jaques A.Vidrine: 誰も「バグの中心には」いないよ。OpenSSH側はなんにも言わない。
ぼくらは厨房あつかいだ。他の関係者やベンダも bugtraq 以上のことは知らないんじゃないの。

(Theo登場)
Theo: クソったれ。だからUsePriviledgeSepalation使えやいいんだって書いたろうが。

Jaques A.Vidrine: ほらほらやっぱり厨房あつかいだ。
それでも詳細を公開してくれたほうが我々としては安心なんだが。

Theo: ほうほうじゃあそいつに言えば口外せずにパッチ作ってくれるのか?
誰だそんなやつは。

Jaques A.Vidrine: きみのペットじゃない? :)
ぼくはリークに反対はしない。そのほうがより賢い選択がとれるからね。
いまのままだと、いつまで待てゃいいんだ?

Theo: ベンダに言えよ。そして以下をよく読め。おまえの選択肢とベンダの選択肢を
まったくまったくまったくまったく明確に述べてるだろ! もしこれが気に入らなければ、
やめろ。それ以上に何を期待する? アイスクリームと頭なでなでが欲しいのか?
こんなにこんなにこんなに前から警告してるのに、しかもリークなしで。クソったれ。
(そして以下最初と同じメールのコピペ)

Darren Reed: 気に入らないのは「特権分離」とやらを使うのが
唯一の方法だということだ。皮肉なタイミングだな。特権分離がexpliotを
ふせぐのか、それともただ単に制限するだけか気になる。rootはとれなくても
shellが手に入るってことはありうるか?

Theo: 皮肉なタイミングはあんたがよく知ってるな。反対したいんならしろ。
もう知らん。
(つづく)

547 :名無しさん@お腹いっぱい。:02/06/26 13:38
いろいろ情報収集してみたが、どうやら問題を知っているのはtheoだけらしい。つまり、現状では
theoは世界中のSSH使っているサイトをcrackし放題ってことだな。
奴はFreeBSD.orgとかNetBSD.org相手にmail bombするような人間なので、ある意味非常に怖い
状況が来週まで続くってことだ。


548 :名無しさん@カラアゲうまうま:02/06/26 13:46
>>546のつづき

JAson Stone: (その前の「Theoのいうことも一理ある」的なメッセージに対する応答)
まだ OpenSSH-2.xを使ってる人もいて、そういう人は特権分離はできない。
それに特権分離がバグをすべてなくすわけでもない。ベンダに文句いうのはやめたら?
それに OpenSSHチームが見つけたんなら、悪者連中だってみつけてるはずだ。
報告を遅らせるのは奴らに時間を与えるだけだ。それにパッチをつくるのは
時間がかかるんなら、コミュニティが手伝えたほうがいいだろう?

Theo: そんならさっさと sshd を切れよ。お前は自分のことしか考えてない。
ああ、悪者連中ね。はいはい。パッチなんか3分でできましたが何か?
文章理解に障害をかかえているようだね。もういちどよく読み返せ。
わかんなきゃコミュニティが手伝ってくれるよ。

Ted Cabeen: 報告には感謝するよ。でも最初のメールはあまりわかりやすくはなかった。
rootなのかユーザレベルでのexploitなのかもわかんないし。
とにかくもうちょっと詳しく教えてくれるといいんだけど。

Theo: おしえない。とにかく最悪の事態を考えてアップグレードしてくれ。
これで嫌いになったら次からはビールおごってくんなくていいよ。

Brian Nelson: こういうアイデアはどうだい? PGP署名したsshdバイナリを
OSセキュリティ管理者がリリースして…(略)…月がオリオンベルトにかかる時に…

Theo: 誰かこのキティを止めろ。

Simon: (HTMLメールでunsubscribe)

Darren Reed: もし一般ユーザshellが取られるんならopensshdは止めるしかないかな。
商用sshのportはあったっけ?

Jaques A.Vidrine: (「ベンダに言えよ」というTheoの発言を受けて) *おれ*がベンダだ。

Theo: だからどうやって回避するか言っただろうが。それ以上は言わない。
IBMもAppleもSunもHPもLinuxディストロも*BSD連中も、誰にも知られていない。
でもどうやって回避するかは言った。誰かこいつに説明してやってよ。


549 :名無しさん@お腹いっぱい。:02/06/26 13:57
>>548

FreeBSD Projectに詳しくない人のために補足しておくと、 Jaques A. Vidrine
(nectar@FreeBSD.org) ってのは FreeBSD の Security Officer でこの手の
問題に関する FreeBSD 側の最高責任者だ。


550 :名無しさん@カラアゲうまうま:02/06/26 14:09
>>548のつづき

Sean Kelly: 気になったんだが、OpenBSDのポリシー見たら
「すべてを公開する」って書いてあるぞ? 誰もがすぐさま
アップデートできるような環境にいるわけじゃないだよ。
それに特権分離したコードにバグがないって確認した?

Theo: 今回は話が別だね。だってパッチなしでもちゃんと回避する方法を
示したんだから。い や な ら す ぐ に s s h d を 切 れ。

Miroslav Pendev: ああ telnet 時代が懐かスィ。。。

Darren Reed: このさい OpenSSH じゃなくて FreeSSH をデフォルトの ssh に考えるのはどうか?

Theo: つまりお前らは特権分離も使わないし、sshdを止めもしないというんだな。
そんで月曜がきたらパッチを手にして、また古いコードにぬくぬくとどまるってわけだ。
俺はそんなに甘くない。お前ら甘やかされ過ぎだ。キャンデーはあげないよ。

Jarkko Santala: で、その「いやならssh止めろ」ってもう3回以上いってるけど、
それが OpenSSH の公式見解なわけ? それ引用していいわけ? 商用プロダクトに
これがどんな意味があるかわかってる?

Theo: >>539 の内容

まだ他にもおもしろいんだけど、これ以上は各自がんばって訳してくれ。

208 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)