А чего это про дырявость OpenSSH никто новость не запилил ?

повесишь на аватарку петуха?

Легко! Но при условии, что, пока такой запрос не появился — ты повесишь петуха себе прямо сейчас.

Разные ответы при неполных и некорректных аутентификационных данных — дыра по определению, точка

Вот теперь ты выразился ясно. Но только теперь. А до этого ты говорил про дыру с паролем без логина.

Легко! Но при условии, что, пока такой запрос не появился — ты повесишь петуха себе прямо сейчас.

А я почему должен его вешать? В отличии от тебя я не утверждаю непременное наличие или отсутствие гипотетической уязвимости, эксплуатируемой при помощи специально сформированного запроса, в говнокоде OpenSSH.

Таки, давайте считать дырой и то что при верном и неверном пароле он тоже разные ответы возвращает. Ну что за бред...

Если ответы будут разными без указания логина — то таки да, это будет дырой.

…

Разные ответы при неполных и некорректных аутентификационных данных — дыра по определению, точка

Вот теперь ты выразился ясно. Но только теперь.

Соболезную, но здесь проблемы с пониманием вышенаписанного — они только твои.

А я почему должен его вешать? Я не утверждаю непременное наличие или отсутствие гипотетической уязвимости

А я утверждаю её невозможность а не «наличие или отсутствие». И когда ты меня берешь на понт петухом, ты утверждаешь её возможность. Если ты считаешь, что петуха вешать должен я, то почему его не должен вешать ты? Тем более, этот вариант ты сам и предложил. А мог бы на бутылку коньяка застолбиться, но нет — петухи тебе интереснее.

здесь проблемы с пониманием вышенаписанного — они только твои

Я не в курсе какие у тебя там синапсы в мозгу посклеились и что именно ты имел ввиду, когда говорил совсем другое. Твое утверждение, что только я не могу тебя понять — спорно.

ты повесишь петуха себе прямо сейчас

Оставьте развлечения с петухами форумным коммунистам и прочим маргиналам.

По сабжу, какое это имеет значение если у тебя отключены пароли вообще и вся авторизация по ключам? Поэтому у этой уязвимости весьма низкий статус. Ну да, неприятно, но не сильно уж и критично.

Как я писал выше — знаю нескольких у кого и рут открыт и по паролям ходят и порт стандартный — вобщем весь букет сразу. И я думаю, что таких гораздо больше, чем я знаю.

Беда у них такая: https://cs5.pikabu.ru/post_img/2015/12/04/5/1449210847155432089.jpg

И пока сами на грабли не наступят, думать не начинают.

и по паролям ходят

Все почему-то забывают, что по сертификатам ходить получается безопаснее только при наличии железки с секретным некопируемым ключом. Пароль вы можете на каждый хост сделать свой, админу он нафиг не нужен, а всем остальным даже скопировав физически диск с /etc/shadow ничего не даст, ибо там нет ключа, а только хеш. А вот иметь кучу закрытых ключей под каждый хост, вешать там разные пароли на ключи и трястись от их утечек — тот ещё геморой.

и порт стандартный

Пф. Ну конечно, это же так сразу становится безопаснее, ага...

А я утверждаю её невозможность

Ты провёл аудит кода? Тогда почему сабжевую дырку пропустил?

ты утверждаешь её возможность

Конечно. Как и возможность узнать существующие в системе логины по ответу сервера.

Я не в курсе какие у тебя там синапсы в мозгу посклеились и что именно ты имел ввиду, когда говорил совсем другое.

Совсем другое говорил ты, когда зачем-то описал стандартный процесс аутентификации OpenSSH, я лишь намекнул в каком ещё случае помимо сабжа это будет дырой.

Твое утверждение, что только я не могу тебя понять — спорно.

Не, я утверждал что твои проблемы с пониманием — они лишь твои.

тот ещё геморой

Не спорю.

порт ... сразу становится безопаснее

Да. Я уже забыл когда последний раз видел в логах попытки брута после скана портов — мамкины какеры думают что там совсем другая служба висит.

Ты провёл аудит кода?

Что-то мне подсказывает, что ты тоже никакого аудита не проводил. Тем не менее — я взял на себя смелость утверждать невозможность того, что ты пришел утверждать возможным. Мы на равных. Но, да, теперь то мы ты «разобрались» что я не так тебя понял.

твои проблемы с пониманием — они лишь твои

И это, как я уже сказал, спорно.

я взял на себя смелость утверждать

Таких смелых обычно балаболами называют. Я вот не утверждаю того чего не знаю наверняка.

Назовешь меня балаболом когда если такая уязвимость появится.

Я вот не утверждаю того чего не знаю наверняка

Да-да, я уже понял — когда что-то утверждают другие, ты вспоминаешь про петухов.

Назовешь меня балаболом когда если такая уязвимость появится.

Но ведь тогда ты же начнёшь кукарекать что это не дырка, как и в случае с сабжем.

Такая уязвимость НЕ появится.

кукарекать

))