Nová verze oblíbeného SSH klienta PuTTY opravuje bezpečnostní chybu

Diskuze čtenářů k článku

Roger  |  04. 08. 2004 15:42  | 

Pane Jurasku, nechcete nas usetrit dalsich svych pokusu o novinarinu?
Po vcerejsim faux pas s pul roku starou chybou v prekonane verzi Mozilly dalsi blabol?
Kdybyste se na tu stranku aspon podival, nebo kdybyste tusil, o cem pisete, doslo by vam, ze placate blbosti - jak muze chyba v klientovi ohrozit vzdaleny system jeste pred overenim??
Autori zcela jasne uvadeji, ze "serious security hole which may allow a server to execute code of its choice on a PuTTY client connecting to it" - tj. server muze spustit neco u vas. A jak dale vysvetluji, muze to udelat jeste pred overenim klice SERVERU, tj. nekdo se muze vydavat za vas server a pustit u vas program driv, nez to zjistite (tj. nez odhalite, ze ten klic je falesny).

Budte tak hodny a uz sem nepiste. Nebo radeji nepiste vubec. (Omlouvam se za nepresny citat.)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vít Jurásek  |  04. 08. 2004 16:07  | 

Už je to samozřejmě opraveno, byl to můj překlep  a uznávám ho. Opravil jsem ho hned jak jsem si to přečetl.


Samozřejmě, že je to směrem ze serveru k vám, jako u většiny ostatních děr.


Nicméně i tak - díky za upozornění.

Souhlasím  |  Nesouhlasím  |  Odpovědět
volis  |  04. 08. 2004 19:43  | 

no ono je to logicke:

chyba v klientovi umoznuje napadeni klienta serverem
chyba v serveru umoznuje napadeni serveru klientem

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pavel Černohorský  |  04. 08. 2004 15:58  | 

Proboha, co je tohle za hloupost, tedy promiňte, ale snad byste se mohli naučit překládat, ne? "spuštění libovolného kódu na vzdáleném serveru, ke kterému se uživatel pomocí klienta připojuje" - to by přeci byla díra v SSH serveru a nemělo by to nic společného s klientem, je to přesně naopak, jak takovouhle hloupost vůbec mohl autor napsat, to se tedy divím... Nejspíš ani maličko netuší co je SSH, co je PuTTY atd. Originál zní "serious security hole which may allow a server to execute code of its choice on a PuTTY client connecting to it".

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pavel Černohorský  |  04. 08. 2004 15:59  | 

Koukám, že už mě někdo svou reakcí předběhl, zatímco jsem ji psal. Tak je to tu dvakrát, no, alespoň to nikdo nepřehlédne...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vít Jurásek  |  04. 08. 2004 16:03  | 

Už je to samozřejmě opraveno, byl to můj překlep  a uznávám ho. Opravil jsem ho hned jak jsem si to přečetl.


Samozřejmě, že je to směrem ze serveru k vám, jako u většiny ostatních děr.


Nicméně i tak - díky za upozornění.

Souhlasím  |  Nesouhlasím  |  Odpovědět
lg  |  04. 08. 2004 16:03  | 

A to skoro vypadalo, že na [l]živě napsali něco aspoň trošku přínosného. Blábol je to sice jako obvykle příšerný, ale reálný podklad to trochu má (chyba tam je a skutečně je dobrý nápad si to opravit).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vít Jurásek  |  04. 08. 2004 17:02  | 

Vít Jurásek obsahuje vysoce kritickou chybu


4. 8. 2004 Vít Jurásek


Vít Jurásek, pojem mezi redaktory serveru zive.cz, v sobě obsahuje vysoce kritickou bezpečnostní chybu. Tato chyba způsobuje naprosto nekontrolovatelné překrucovaní informací z oblasti bezpečnosti. Tato chyba se vyskytuje ve všech starších verzích již zmíněného redaktora Juráska.


V případě, že sami víte o dalších případech zneužití této chyby, napište je prosím do fóra.


Vzhledem k tomu, že zneužití této chyby je velice časté, doporučovali by jsme přechod na nejnovější stabilní verzi produktu Vít 1.75 nebo použití některého z alternativních redaktorů.


Známá zneužití této bezpečnostní chyby:


4.8  Nová verze oblíbeného SSH klienta PuTTY opravuje bezpečnostní chybu


Naprosté nepochopení, kdo u koho spustí kód a čí počítač je tedy zranitelný.


3.8. Mozillu a Netscape trápí další vysoce kritická chyba
Jedná se o první kritickou chybu, která postihuje navíc pouze starší verze prohlížeče a patch byl zaslán již 8.března.


18.7 Chyba v ukládání certifikátů prohlížeče Mozilla/Firefox

Živě: Jako řešení je doporučeno použít dočasně jiný prohlížeč nebo nenavštěvovat pochybné stránky.
Secunia: Critical: Less critical. Don't visit untrusted websites.

13.7. Čtyři chyby Internet Exploreru
Živě: Některé z výše uvedených chyb patří pravda spíše do úrovně laboratorních pokusů a jejich praktické využití ke škození uživatelům je malé.
Secunia: Critical: Extremely critical. Successful exploitation allows execution of arbitrary script code in the context of another website.

Zdroj: zive.cz

Souhlasím  |  Nesouhlasím  |  Odpovědět
zd  |  04. 08. 2004 17:27  | 


vitam noveho redaktora:), dobrej clanek,hihi

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tom  |  04. 08. 2004 19:12  | 

Konecne kvalitni pocteni na zive, skoda ze jen v diskuzi, Mozna by se redaktori (pisalci) na zive meli nad sebou zamyslet. Vzit rozum do hrsti. Nepsat horsi zpravy nez mas Blesk (a Hrom) nebo zkusit neco jineho.

Souhlasím  |  Nesouhlasím  |  Odpovědět
lzap  |  04. 08. 2004 19:51  | 

Kdo tohle psal? Navrhuji Nobelovu cenu :)))

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Baláš  |  04. 08. 2004 20:37  | 

Ta cena pro novináře se jmenuje Pulitzerova. Jinak se k návrhu připojuji - tento komentář obsahuje více informací než 10 "článků" od Víta Juráska.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vít Jurásek  |  04. 08. 2004 22:32  | 

Dovolte reakci ke článku, který jak vidno jsem si o sobě napsal já...protože autor se bohužel nepodepsal:


Naprosté nepochopení, kdo u koho spustí kód a čí počítač je tedy zranitelný. - Překlep, který vznikl upravováním pořadí slov a celkové skladby věty jsem opravil ještě před první reakcí v diskuzi. Následovalo pár minut, kdy se bleskovka objevovala ještě z cache serveru.


Jedná se o první kritickou chybu, která postihuje navíc pouze starší verze prohlížeče a patch byl zaslán již 8.března. - Servery Secunia, Securitytracker chybu zveřejnily 2.8.2004. Idefense - "08/02/2004   Public disclosure". Bohužel u nás stále platí, že většina uživatelů si záplatu či novou verzi stáhne až ve chvíli, kdy se dočtou o tom, že obsahuje bombastické zlepšení nebo nějakou brutální chybu. Navíc v článku bylo uvedeno, že se jedná o potenciální útočníky a také tam bylo, že se jedná o chybu daných starší verzí a že 1.7.1 chybu již neobsahuje.


Živě: Jako řešení je doporučeno použít dočasně jiný prohlížeč nebo nenavštěvovat pochybné stránky.
Secunia: Critical: Less critical. Don't visit untrusted websites.
- Jak jsem již četl tady v některém příspěvku dole, jedná se o volné překlady. Samozřejmě, že použít jiný prohlížeč je vždy platná rada a její uvedení podle mě není na škodu. Záleží na tom, z jakého kontextu se na tuto radu díváte.


Živě: Některé z výše uvedených chyb patří pravda spíše do úrovně laboratorních pokusů a jejich praktické využití ke škození uživatelům je malé. - Ano. Hodnocení serveru Secunia se mnohdy liší od hodnocení výrobců. Zkuste si přečíst popis daných chyb a řekněte mi, jestli si umíte představit, jak některé z nich zneužít. Zneužití (jak uvádím některých) chyb je opravdu velmi složité a v praxi dost špatně realizovatelné.


Jinak autora článku o mé nové verzi velmi děkuji. Jsem rád, že máte dostatek času věnovat mé péči. Pokud jsem se někoho dotknul, upřímně se mu omlouvám, nicméně pevně věřím, že spousta lidí, kteří si z článků vezmou to co potřebují tuto činnost alespoň přímo neodsoudí jako vy. Je škoda, že v příspěvku o chybě IE mnozí lidé křičí o tom, jaký je to brak, a v příspěvku o chybě Mozilly ti stejní lidé křičí, že to skoro snad ani není chyba. Ale to je již z jiného soudečku, který bych nechtěl načínat a rovněž bych nechtěl rozpoutávat další naprosto zbytečnou válku s výkřiky do tmy.


Přeji Vám i všem čtenářům hezký zbytek večera.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Rdm  |  05. 08. 2004 01:29  | 

Je škoda, že v příspěvku o chybě IE mnozí lidé křičí o tom, jaký je to brak, a v příspěvku o chybě Mozilly ti stejní lidé křičí, že to skoro snad ani není chyba.


naprosto souhlasim..nechci tim rict ze msie je kvalitni browser ale co se tyce tech chyb i mozilla ma a bude mit spoustu bezpecnostnich chyb mozna ne tolik jako ie ale chyby budou vzdyt prece ji take delaji jen lide a ti chybuji velmi casto!

btw..omlouvam se za prispevek ktery nesouvisi s tematem clanku:)))

Souhlasím  |  Nesouhlasím  |  Odpovědět
Uživatel  |  05. 08. 2004 01:48  | 

Samozrejme kazdy software ma chyby a rovnez je jasne, ze kazdy ma radsi neco jineho.

To oc tu bezi je, ze redaktor technickeho magazinu by mel umet podavat pravdive informace a ne je at uz umyslne, ci neumyslne zkreslovat. Zda se mi totiz mirne trapne, kdyz velmi kriticke chyby v IE jsou hodnoceny jako mirne skodlive, zatimco u stredne kriticke chyby Mozilly je doporuceno pouzivat jiny prohlizec. Nebylo by prece jenom vic profesionalnejsi informovat o tech chybach, tak jak o nich informuji ostatni servery a nechat si svoje doporuceni, ci uvahy od cesty. Zvidavemu ctenaru potom stejne nezbyde nic jineho, nez se podivat jinam, ci do fora, protoze po precteni zpravicky od p. Juraska, nemuze mit jistotu, jak to s tou chybou vlastne je - coz je skoda.

Pokud to myslite s bezpecnosti vazne a anglicky neumite, doporucuji server http://www.actinet.cz/bezpecnost_informacnich_technologii/

Souhlasím  |  Nesouhlasím  |  Odpovědět
Rdm  |  06. 08. 2004 00:44  | 

jenze bohuzel to je realita..lzou snad vsichni a tyhle chyby co provadi pan jurasek myslim nejsou az tak zavazne jako kecy ktere davaji na nove nebo v ct

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tom  |  05. 08. 2004 09:22  | 

: jestli si umíte představit, jak některé z nich zneužít. Zneužití (jak uvádím některých) chyb je opravdu velmi složité a v praxi dost špatně realizovatelné.

Podrobny navod (aneb steb-by-step tutorial) jak tuto chybu vyuzit je treba na http://62.131.86.111/analysis.htm
Takze si to predstavit umim

Souhlasím  |  Nesouhlasím  |  Odpovědět
XXX  |  04. 08. 2004 23:03  | 

No, když se podíváte na jeho osobní stránky, skryté pod odkazem ve výše uvedeném příspěvku (http://vit.jurasek.info), tak to zas až takovej "vůl" není - viz projekty, reference apod.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Uživatel  |  05. 08. 2004 01:06  | 

Vůl možné ne, ...

Here you can find here a lot of information
My webside work
If you want to communicate something

... ze by to byl duvod tech "volnych" prekladu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
M.  |  05. 08. 2004 08:09  | 

Ty si už fakt trapnej. Jak malý dítě....

Souhlasím  |  Nesouhlasím  |  Odpovědět
L.  |  04. 08. 2004 17:37  | 

Mno nevím pánové, překlep může udělat každej.


Výše uvedené příspěvky jen svědčí o vaši inteligenci. Vůbec se nikoho nezastávám, stát se může každému. Ti, kdo tu křičí jsou dle mě vesměs lidé, co nikdy nic nedokázali a jen remsají, prudí a mají radost z cizích chyb. Bohužel je to částečně česká mentalita a v diskuzích se předvádějí ti nejlepší...


 

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Baláš  |  04. 08. 2004 18:08  | 

No nevím, pod pojmem překlep rozumím chybu v zápisu slova a ne něco, co totálně obrátí význam věty. Ale to není hlavní problém. Hlavní problém je v tom, že ho to netrklo, když si ten článek po sobě četl. Z toho bohužel vyplývá, že ten člověk píše o něčem, čemu ale vůbec nerozumí (protože to co napsal je už od pohledu kravina). A nebo že si svoje články po sobě nečte. Nejsem si jistý co z toho je horší ale oboje znamená, že by už nic dalšího psát rozhodně neměl.

Jinak pokud trochu rozumíte anglicky, tak si přečtěte reakci "Vít Jurásek obsahuje vysoce kritickou chybu" - jasně z něho vyplývá že to zdaleka není první případ a že chce li si redakce živě udržet alespoň zdání odbornosti, tak jej měla urychleně vyrazit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tom  |  04. 08. 2004 19:14  | 

Abych se priznal, nemam radost z techle nesmyslu, co se pisou na zive. :(( A nechci uz remcat pujdu radeji jinam. Strasne se to tu zhorsilo. Zive bulvar.
HOWG

Souhlasím  |  Nesouhlasím  |  Odpovědět
asdf  |  05. 08. 2004 07:48  | 

Nejedna se o preklep, ale prekrouceni informace. A i to se muze kazdemu stat, ale ne kazdemu se to stava v kazdem clanku. Takovy clovek by nemel vubec psat. Podle me to vzhledem k cetnosti nejsou omyly, ale umysl, protoze takhle blbej nemuze byt snad nikdo.

Souhlasím  |  Nesouhlasím  |  Odpovědět
jurašek :-))  |  04. 08. 2004 18:55  | 

navrhuju lehčí čtení na http://owebu.cz/


Čiňané mají méně porna   


http://www.owebu.cz/zajimavosti/vypis.php?clanek=151

Souhlasím  |  Nesouhlasím  |  Odpovědět
jurašek :-))  |  04. 08. 2004 18:55  | 
fellow  |  05. 08. 2004 12:36  | 

Co je na tom clanku tak vtipneho?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Čtenář  |  04. 08. 2004 21:57  | 

Jezisi kriste vy ste fakt padli na hlavu. Touhle diskuzi si jako dokazujete co? Svoji inteligenci? Svoji silu? Svoje ego, ze umite neco pomluvit? Po bitve je kazdy general. Proste se stalo a podle prispevku nahore to autor opravil hned jak si to po sobe precetl. Z vlastnich zkusenosti vim, ze kolikrat v praci udelam botu, az se obcas celej oklepu. Jak bylo vyse uvedeno, napsat "chyba v klientovi umoznuje napadeni klienta serverem" nebo "chyba v serveru umoznuje napadeni serveru klientem" jde velmi snadno a ani to clovek nemusi chtit.


Je mi smutno z inteligence ceskeho naroda, kterou tady prezentuje. Vseobecne se rika, ze inteligence jde prudce k zemi a na vasich prispevcich je to videt. Misto toho, abyste kolegialne napsali - bacha, mas tam chybu, tak tady rvete v diskuzi a delate ze sebe machra a kinga. Vy jste urcite nikdy neudelali chybu. A kdyz jste ji udelali, tak jste z ni urcite nemeli stazenej zadek.


Panove, meli byste se nad sebou zamyslet. Zavrhnout cloveka jde jedna radost. Ale to, ze ten clovek tady kazdy den informuje spoustu ctenaru okolo vas, kteri nemaji na to si to precist v anglictine a tim se defacto snazi i o to, aby to v oblasti home IT bylo o trosku mensi tragedie nez to je ted, to uz nikdo nevidi. Jednou se preklapne a hned je z toho halo. Vybereme si ho za obetniho beranka jen proto, ze nam pohanil Mozillu. Opravdu to jen vypovida o inteligencnim kvocientu urcite skupiny ctenaru tohoto webzinu.


A pokud to vezmeme uplne ke smyslu teto zpravy - hlavnim cilem bylo informovat, ze ve starsich verzich produktu je chyba a dat doporuceni o aktualizaci na novou verzi. To tento clanek splnil at s preklepem nebo bez nej.


A jeste poznamka k tomu ubohemu diskuznimu prispevku o chybach redaktora - u clanku ci bleskovych zprav predpokladam, ze se jedna o volne preklady a ne opici prekladovou praci. To, ze tady vycitate, ze v jednom clanku bylo nebo nebylo zmineno pouziti alternativniho prohlizece opet svedci o inteligenci autora takoveto poznamky, protoze pouziti alternativniho prohlizece je VZDY pomoc od aktualne popisovane chyby.


Fakt je mi z tech hnidopichu, co nemaji co na praci a jen ryji do ostatnich smutno. Pak to ma nase republika nekam dotahnout, kdyz vsichni remcaj a prd delaj... Zamyslete se nad sebou a to myslim smrtelne vazne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  04. 08. 2004 22:17  | 

Jen drobny dotaz - ten titulek vcerejsiho clanku o Mozille byl podle vas taky jen preklep?
Ja jsem rad, kdyz me nekdo upozorni na chybu v nejakem programu (ktery pouzivam) - nesleduji stale vsechny domovske stranky. A kdyz nekdo bude informovat "laickou verejnost" o tom, ze by si meli zaplatovat svoje programy, tak to ulehci i mne (treba nebudu muset denne mazat desitky viru z mailu).
Ale, probuh, tohle opravdu neni zpusob, jakym by se to melo delat. Otocit smysl zpravy nebo honbou za bulvarni zpravou mast uzivatele mi neprijde... "stastne".

Kdyz uz se o nas tak hezky staraji, budu se tesit na bleskovku o tom, ze vysly nove verze Mozilly, FFoxu (a nejspis i TBirda), ktere resi nektere zavazne bezpecnostni chyby (o kterych tu take nedavno byla rec).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Čtenář  |  04. 08. 2004 22:57  | 

Autor právě napsal svůj pohled na věc - je v reakcích na "Vít Jurásek obsahuje....".

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  04. 08. 2004 23:11  | 

Cetl jsem ji. Nesouhlasim ale s autorovym ospravedlnenim bulvarniho a zavadejiciho titulku predchoziho clanku (jehoz obsah navic zmenili, ale budiz...), protoze je proste nepravdivy.
Preklep... chyby se stavaji, jsme lidi (jinak by ani nebyl duvod tu bleskovku psat, ze). Ale otocit cely vyznam vety? To je na me trochu silna kava. Bud si ma Zive poridit lepsi redakcni system, nebo opatrnejsi redaktory.
Pan Jurasek musi pocitat s tim, ze po jeho poslednich vystoupenich a chybach se budou ctenari davat velky pozor na kazdicke slovo, ktere napise. Doufam, ze to zvladne a dokaze, ze Zive neni obycejny bulvar (jak se nas snazi spolu s ostatnimi redaktori neustale presvedcovat).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  05. 08. 2004 07:20  | 

No fuj, pisu jak prase :(
"si budou", "redaktory"

Kde ze je ta bleskovka o Mozille?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Uživatel  |  05. 08. 2004 01:17  | 

| ze se jedna o volne preklady a ne opici prekladovou praci.

Tak to asi anglicky moc neumite, jelikoz to, co obcas vyplodi pan redaktor Jurasek, se neda oznacit za volny preklad (treba i casti) originalni zpravicky ani se zavrenyma ocima.

Souhlasím  |  Nesouhlasím  |  Odpovědět
sine.nomine  |  05. 08. 2004 16:40  | 

svyho casu jsem se zivil prekladanim eng-cz a myslim, ze by mi zamestanavatel netoleroval nejaky volny preklady. to samy treba bezny noviny: dokazete si predstavit, ze by ctk pri prejimani zprav treba od reuters otacela jejich smysl???

Souhlasím  |  Nesouhlasím  |  Odpovědět
Gremlin  |  05. 08. 2004 08:58  | 

Baví vás dělat cizímu neštěstí? Uspokojuje te se tím?


Mám takovej pocit, že těch pár lidí co tu píše je banda duševních mrzáků, kteří mají dost problémů sami se sebou či se svojí prací...


Na rozdíl od ostatních ubožáků, kterým vadí vysloveně "vydřeně najité" chyby já děkuji panu Juráskovi za jeho snahu, která pomáhá spoustě ostatních lidí. Ty sem bohužel nenapíšou, takže tahle diskuze je opravdu jen sbírkou ubohého pranýřování skupinou lidí, kteří by se měli nejprve zamyslet sami nad sebou a pak teprve působit problémy sami sobě.


Boží mlýny melou pomalu, ale jistě... HOWG.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Aleq  |  05. 08. 2004 09:59  | 

http://pocketputty.duxy.net - PocketPuTTY - PuTTY pro Pocket PC 2003


prozatim ale na 0.54ce zalozene...


 


--Aleq

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky