LINUX.ORG.RU
ФорумTalks

log4j — уязвимость на сервисах AWS, Cloudflare, iCloud, Minecraft, Steam

 , ,


0

1

https://habr.com/en/company/mvideo/blog/599689/

Эпичный по своему масштабу трешак. Анон из тринидад и тобаго пишет опенсорсную либу для логирования, эту либу безвозмездно включают в свои сервисы крупнейшие игроки рынка, спустя годы выясняется, что либа для логирования дырява насквозь, потому что анону из тринидад и тобаго просто пофигу на AWS, ведь он не получил от амазона ни копейки. Причем, точно так же амазону и клаудфлере пофигу на качество используемого кода — они мне напоминают школьника, который поставил на компьютер кучу крякнутых игрух с торрентов, а потом удивился, что его пароли куда-то утекли.

Просто к слову о том, почему я не хочу быть опенсорсным разрабом-мейнтейнером. Ты пишешь код, а потом внезапно еще и оказываешься должен кому-то. Как там говорилось «за привелегию писать код нужно брать деньги».

Уже обсуждалось тут: Критическая уязвимость в Log4j позволяет выполнять произвольный код на сервере

UPD: https://habr.com/en/news/t/599865/ — Автор faker.js и colors.js намеренно сломал свои пакеты

Еще один аноним из зимбабве недоволен, что корпорации используют его библиотеки, и потому, воспользовавшись привелегией лицензии MIT про отказ от ответственности, автор взял и намеренно испортил код библиотеки — дошло до блокировки его аккаунта GitHub-ом!

Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах

★★★★

Последнее исправление: byko3y (всего исправлений: 3)
Ответ на: комментарий от urxvt

Я не понял, о какой статье ты говоришь. На хабре просто написано, что есть некая либа, написаная некими аноном, все ее используют, никто не проверял.

Что тут не соответствует действительности? То, что тысяча глаз её не проверяла? Ну, видимо, не проверяли. В софте бывают уязвимости. Сюрприз-сюрприз.

CaveRat ★★
()
Ответ на: комментарий от BattleCoder

ППКС. Добавлю только то, что разговоры о том, что было бы неплохо проводить аудит безопасности значимых open source проектов ведутся как минимум с heartbleed-а, если не дольше, но воз, на сколько я знаю, и ныне там

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Про Хабр и говорю. Там же не только школьника, а еще и продвигается идея того, что школьнику обязаны платить корпорации. А кто платит тот и заказывает музыку, это же мы знаем.

urxvt ★★★★★
()
Ответ на: комментарий от urxvt

Детский сад, штаны на лямках - это если кратко.

Развёрнуто - зависит от схемы финансирования. Если это организовать через фонд, куда скидывается много компаний, как с Linux Foundation, то в чем проблема? Если оплачивается непосредственно аудит безопасности - в чем конкретно проблема? Не забывай, что лицензия остаётся открытой, и никаких особых прав на код корпорации не получают. Ну, да, они, возможно, смогут как-то влиять на развитие проектов, если будут платить непосредственно авторам ПО. Но это можно нивелировать прокладкой в виде специального фонда.

CaveRat ★★
()
Ответ на: комментарий от cocucka

Откуда столько ненависти к FAANG в треде? А как же «Гугл опенсорсит столько полезных штук для линя», «Microsoft — колыбель опенсорса, хранитель гитхаба, и создатель божественного VS Code», и прочее?

byko3y ★★★★
() автор топика
Ответ на: комментарий от byko3y

Да вообще всё самое хорошее создали яркие энергичные личности как например Билл Гейтс или Цукерберг. На их достижениях просто всячески пытаются паразитировать всякие неудачники и маргиналы типа того же Столлмана. Потому что последним никогда не достичь и десятой доли высоты настоящего софтозапильщика.

ados ★★★★★
()
Ответ на: комментарий от CaveRat

Linux Foundation

Там немного другие, более наболевшие приоритеты. Настолько наболевшие, что тему на лоре снесли 😁

chenbr0
()
Ответ на: комментарий от byko3y

Ты MS к FAANGу не приплетай. Они – хипстерские галеры, а MS душевная компания.

cocucka ★★★★☆
()
Ответ на: комментарий от imul

Пост над твоим:

Криокамера протекла?

Ну да, я чот провтыкал

question4 ★★★★★
()
Ответ на: комментарий от cocucka

Да никто не будет нанимать аудиторов ради какой-то сраной библиотеки. Всем насрать.

Если с этого не зарабатывают, то в большинстве случаев ты прав. Но если на опенсорце можно будет получать хорошие деньги, вместо устройства в копрорацию, то начнётся (хоть какая-то) конкуренция.

Свобода. И никакой ответственности.

Т.е. я тебе пишу код бесплатно, а потом и еще что-то должен? По мне всё правильно, так и должно быть когда автор на этом не зарабатывает. Возможно теперь больше шансов взлёта опенсорц лицензий с оплатой в случае комерческого использования.

foror ★★★★★
()
Ответ на: комментарий от foror

на опенсорце можно будет получать хорошие деньги

Опенсорц и деньги в текущих реалиях это: мы зарабатываем бабло на продукте, а комьюнити его и связанные с ним продукты развивает нахаляву т.к. им они нужны.

cocucka ★★★★☆
()
Ответ на: комментарий от cocucka

Автор faker.js и colors.js намеренно сломал свои пакеты

У парня конкретно кукуха отъехала

С одной стороны да, а с другой стороны почему бы и нет? Почему бы не взять и не сломать пакеты в NPM? Удалить оттуда все равно их нельзя, как шутил Дрю Деволт.

byko3y ★★★★
() автор топика
Ответ на: комментарий от byko3y

Ну это уже откровенный вандализм. Его же никто не заставлял выбирать MIT лицензию, когда он выкладывал свои работы. Он бы ещё майнер или криптолокер туда встроил.

cocucka ★★★★☆
()
Ответ на: комментарий от cocucka

Ну это уже откровенный вандализм. Его же никто не заставлял выбирать MIT лицензию, когда он выкладывал свои работы. Он бы ещё майнер или криптолокер туда встроил

И встраивают. А почему нет? Лицензия MIT прямо указывает «мне похеру на ваши проблемы, делаю что хочу».

byko3y ★★★★
() автор топика
Ответ на: комментарий от byko3y

Лицензия MIT прямо указывает «мне похеру на ваши проблемы, делаю что хочу».

Да это в любой лицензии написано.

static_lab ★★★★★
()
Ответ на: комментарий от byko3y

А почему нет?

Думаю, потому, что данные действия попадают под 273 статью УК (и аналогичным ей в др странах) «Создание, использование и распространение вредоносных компьютерных программ». А какая там лицения значения уже не имеет.

cocucka ★★★★☆
()
Ответ на: комментарий от cocucka

При чем тут 273? Она подразумевает несанкционированность. Люди ведь не читают лицензионных соглашений, а если в соглашении будет написано «разрешаю уничтожить любую информацию на моем компьютере», то никакой адекватный суд 273 не применит.

byko3y ★★★★
() автор топика
Ответ на: комментарий от cocucka

Закон приоритетнее лицензий, договоров и т.д. Пункт признают ничтожным

Еще раз подчеркиваю слово «несанкционированный». Санкционированность снимает статью 273.

byko3y ★★★★
() автор топика
Ответ на: комментарий от cocucka

У парня конкретно кукуха отъехала.

Чо это? Он художник - он так видит.

foror ★★★★★
()
Ответ на: комментарий от byko3y

Еще раз подчеркиваю слово «несанкционированный». Санкционированность снимает статью 273.

Написанное где-то в глубине тексте лицензии мелкими буквами предупреждение лишь немного повысит вероятность избежать наказания, не больше. Только если порча софта будет указана как основное назначение программы большими-пребольшими буквами. Сам факт написания и распространения вредоносной программы уже чреват сам по себе, уже является объективным фактом, к которому нужно лишь добавить доказательство умысла. А здесь сгодится любая маскировка предназначения программы.

vaddd ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.