pppd

Тебе пора замуж за сахарикту.

я не хочу страдать от бытовых конфликтов и чтобы мне кто-то мозг выносил ежедневно. холостяцкая жизнь - одна из основ спокойной и мирной жизни программиста. я вместо унылой бытовухи вот сижу, дебажу софт и почитываю новости про уязвимости.

pppd используется в куче протоколов как внутренний. в том числе часто в корпоративных сетях.

A 17-year-old critical remote code execution vulnerability

Эпичненько.

старый баг - лучше новых двух! :)

анон, а вот эти самые 4G интернеты не через него как будто коннектятся, я так подозреваю, pppd вместе с диалапом не помер

клиенты тоже уязвимы, эпичное решето прям

Iron_Bug: - Народ, я тут уязвимость нашла...
ЛОР: - Замуж тебе пора!
Iron_Bug: - Не хочу.
Народ: - Мы лучше знаем!
(сидят на лавочке, потрясая клюшками)

ну я через ppp в интернеты не коннекчусь, так что чего бы на лавочке не потрясти клюшкой :D

После модерации останется два первых комментария.

Дырявое легаси дерьмо времён инита на баш-лапше всё продолжает быть дырявым… Кто бы сомневался.

Вот это новость написала… Один прицепился с фермой и кормёжкой, Другие подпевают.

В конце концов пришёл доктор по голове, в самом прямом нейрохирургическом смысле.

Зато наобщалась на 8е марта, да. Всё как любишь, виртуально :-)

Постарел ЛОР…уже клюшкаме трисёть!

OpenBSD - не подвержено

FreeBSD - не подвержено

17 лет назад МСВС из Linux-а сваяли, кажется

у них свои демоны ppp? потому что уязвимость касается, в том числе, и последних версий софта.

Nick: Wiospkl

ID: 175996

Дата регистрации: 09.03.20 10:47:52

Последнее посещение: 09.03.20 13:52:16

Статус: анонимный

Оказывается, можно было ломать провайдера через диалап )

Ну и к чему это?

Читайте источник, если сомневаетесь в компетенциях

https://www.kb.cert.org/vuls/id/782301/

секция «Vendor Information»

ну я через ppp в интернеты не коннекчусь, так что чего бы на лавочке не потрясти клюшкой :D

Ну как бы оператор Эр-Телеком с замахом на федеральность - PPP. У Ростелекома тоже вроде. Сервера-то там вряд ли pppd, даже если Linux, а вот клиенты - вполне. Интересно, во всяких D-Link/TL-Link ppp-клиент - это что... И затронут ли accel ppp.

Оказывается, можно было ломать провайдера через диалап )

На диалапе были всякие Циски/USR/BayNetworks/Nortel Networks. У них свои способы ломания были, не от pppd. :-)

Похоже, что их там совсем нет.

Но меня интересует другое. Почему сначала уязвимости не было, а потом появилась? Ведь, чтобы устранить её нужна всего одна строчка.

https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426

Неужели проверяльщики, а они 100% были, ничего не заметили?

ну, уязвимости появляются. общее ухудшение качества софта. тенденции такие. вон, даже в процах баги находят.

общее ухудшение качества софта

Ну для 17-летней уязвимости тенденция тут явно другая. Взяли протокол, в котором экономили каждый битик во времена диалапа и до сих пор пришпандоривают в 21 веке куда не попадя, а аудитом этого нудного колупания в каждом байтике заниматься даже не лень, а просто неприятно.

что же плохого в «колупании в каждом байтике»? это основа системного программирования, так-то. если бы за юзеров никто байтики не экономил, мы бы уже утонули в говнокоде и его жрущих ресурсы производных.

колупание в байтиках ещё вернётся. производительность процов и сетей не резиновая.

предлагаешь вместо PPP JSON-ы, YAML-ы или что сейчас модно, туда сюда-гонять?

что же плохого в «колупании в каждом байтике»?

Так пар же в свисток уходит, когда технология не по назначению. Вместо тупого как пробка IPoE придумывают accel-pppd, какие мы крутые, сэкономили несколько байт, но через CPU, а потом годами баги правят и конца не видно.

какой пар-то? он раз в столетие правится по чуть-чуть. зато поддержка в любой железяке есть. в сети его полно повсюду.

экономия байтиков в системном софте - это нормально. как выше заметили, всякие хипстерские json'ы там даже рядом не стояли. дело не в «удобстве» некоторых программистов, а в эффективности.

зато поддержка в любой железяке есть

Через CPU и по замкнутому принципу, что раз все делают, то и нам придётся.

всякие хипстерские

Я вам конкретный пример дал, а вы юродствуете на пару.

непонятно, почему ты сравниваешь PPP с IP. PPP - это аутентификация юзера и пароля. а IP - это точка назначения, без проверки.

PPP - это аутентификация юзера и пароля

А я в тебе не ошибся, ты прекрасна.

непонятно, почему ты сравниваешь

А что бы не сравнить? Для медленного диалапа, если такое ещё кому-то надо, так и быть, юзайте, оно как раз для этого. А там где действительно нужна современная аутентификация, там медленно но верно pppd потеснён, но до сих пор можно найти упоротых с pptp.

если ты предпочитаешь быстрое надёжному - это твоё личное дело. я видела много сетей с l2tp и не только в нашей стране. не вижу причин для наездов на ppp.

если ты предпочитаешь быстрое надёжному

Я предпочитаю адекватность и обоснованность.

не вижу причин для наездов на ppp

Ну так печально же. Оглянитесь вокруг, для провайдеров уже аппаратно поддерживают железки IPoE, когда надо есть и железные акселераторы IPSec, 802.x, туннелей на вкус и цвет. ppp - дал толчек по сравнению со slip и мог бы достойно уйти на пенсию. l2tp - типичное натягивание легаси на глобус.

так я-то как раз реалист. l2tp цветёт и пахнет. и не думает помирать. и вообще пофигу на акселераторы, если это в принципе другой протокол, без авторизации.

мы бы уже утонули

Недавно в ютубах слушал про SoC c эн ядрами и 5петаопсами, тормозившую на просмотре сайта о себе самой. Пишу из подлодки.

Оказывается, можно было ломать провайдера через диалап )

ты слишком узко мыслишь. pppd под капотом у pppoe, pptp, l2tp. Так что если твой провайдер не купил cisco/juniper/etc, то можешь ломать хоть сейчас!

так я-то как раз реалист. l2tp цветёт и пахнет. и не думает помирать. и вообще пофигу на акселераторы, если это в принципе другой протокол, без авторизации.

pppoe, l2tp — паллиатив, решает проблему на говнах и палках сделать подешевле, когда в сети тупые коммутаторы и разорились на один BRAS. А протоколов с мощной авторизацией было в предыдущем сообщении перечисленно, если вы не заметили.

ах, ну да, у нас же везде джуниперы, куда ни плюнь! бабла-то у провайдеров дохрена, вот и бесятся с жиру :)

Офигеть. У меня как раз ppp0. Android-устройства подвержены?

pppoe нафиг не нужен… vlan per user прозрачно для юзера и удобно.. неужели в 2020 управляемые коммутаторы такие дорогие?

Так у операторов сотовой связи тоже ppp

провайдеров обложили со всех сторон, душат пакетом яровой. какие там коммутаторы? локальные провайдеры вообще повально закрываются и продаются более крупным. в регионах-то денег нет совсем. им явно не до смены оборудования последней мили.

им явно не до смены оборудования последней мили.

Проблема в районных коммутаторах и топологии сети провайдера, а не в последней мили.

VLAN на каждого пользователя, круто и правильно для сетей Ethernet.

Теоретическая возможность поднять VLAN на клиента есть только при топологии звезда, когда к каждому порту районного коммутатора подключено по одному 24 портовому домовому коммутатору. 24*24=576 ~ 500 VLAN клиентов это максимум который может обработать районное оборудование.

Практически, в среднем, на одном порту районного коммутатора, паровозом или кольцом весит далеко не один домовой коммутатор и клиентов >> 5000! Районные коммутаторы дороже домовых и денег на закупку дополнительных коммутаторов нет. А если пров нормальный и дает не только инет, а еще телефонию, телевидение малтикастом… столько VLAN просто районные коммутаторы не вывезут, а те что вывезут стоят как космический корабль.

Не обязательно в дешовых вариантах использовать ppp можно делать привязку клиент - порт коммутатора и все сервисы/безопасность вешать на клиентский порт коммутатора. При этом надо очень квалифицированных админов.

Если сегодня с нуля сеть подымать то вместо Ethernet лучше ставить пасивную оптику по технологии xPON. В место админов, которых в РФ после 20 лет Путина уже не осталось, набирать сварщиков оптики. Клиенту подключение будет стоить покупку нового xPON устройства. Я бы оптическую домовую сеть закладывал в стоимость дома, жильци или ЖЕК заключают договор с провом на инет, телефонию, телевидение. Прову не надо держать монтажников, админов (пасивную оптическую сеть не надо админить), провода по подъездам прокладывать, только высокоскоростное ядро сети админить..

за рубежом вполне себе используют ADSL внутри домов. никакой оптики не нужно, модемы стоят довольно дёшево.

У них уже есть медная (дорогая) проводная инфраструктура, вот ее и используют. ADSL агрегирующие оборудование е было дорогим и уже себя отжило. Скорость передачи низкая, администрирование сложное.

В новых домах целесообразно тянуть оптику (дешевле меди) и администрировать пасивную оптику не надо. Оптика даст гигабитные скорости уже сегодня. От молний защищать не надо.

я разрабатывала то самое оборудование. точнее, начинку для него. спрос огромный. ставят много где. более того, в некоторых странах/городах просто запрещено тащить какие-то левые коммуникации внутри общедомовых каналов. поэтому используют ADSL. VDSL очень шустр. при этом есть возможность автоматической настройки внутрисети. и для провайдера это вообще идеальное решение.

мы у себя эти девайсы тестировали. воткнул в разных частях здания в розетку модемы - и вот у тебя уже сетка. ничего не надо настраивать. они друг друга видят и сами создают сеть. для офисных решений это элементарное решение. а можно через стандартные сетевые протоколы ими управлять с провайдерского роутера.

Сравни с этим абоненским устройством:

https://eltex-co.ru/catalog/ont-tgepon/nte-rg-1421g-wz/

я не сторонник вайфая. у себя не использую. уязвим для атак, облучение от мощного роутера на весь дом там, где он установлен. нестабильная связь при наличии многих девайсов на одной полосе. фигня, короче говоря. нормальная сеть - это сеть проводная.

облучение от мощного роутера на весь дом там, где он установлен

Согласен! Заметь странность по стандартам USA вредным порогом считают тепловое воздействие ЕМИ и эти деваесы радиоактивными не считают. А по старым стандартам СССР все они вредны!!!

Я просто тыкнул на топовый самый навороченный девайс. Самый простой без WiFi:

https://eltex-co.ru/catalog/ont-tgepon/nte-2-bplus/

радиоактивность - это другое. а тут интенсивные электромагнитные поля. но не суть. я бы не хотела жить рядом с таким устройством. и при выборе провайдера я выберу того, кто предоставляет проводную, а не беспроводную сеть.