LINUX.ORG.RU

ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

 , , , менеджеры пакетов


0

0

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Перемещено maxcom из Linux General

>>> Подробности

anonymous

Проверено: Shaman007 ()
Ответ на: комментарий от LamerOk

>> Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

>Снимись с ручника: подставное зеркало входит в список официальных.

А как оно туда попало, можно полюбопытствовать? "Здрасьте, у меня тут есть место на сервере, давайте я буду вашим официальным зеркалом?"

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

Почему? Дерево портов формируется централизованно. Исходники лежат на своих сайтах. Одно с другим "пересекается" только в момент make checksum, а далее принимается решение отбросить лажовый архив или продолжить сборку. Для компрометации нужна только возможность изменить дерево портов (включить левый порт), что под силу лишь руткиту. Но как он попадёт в систему, если всё ПО устанавливается из дерева портов? Только если одмин настроил синхронизацию дерева с левым сайтом, чего у вменяемого админа быть не может.

iZEN ★★★★★
()
Ответ на: комментарий от LamerOk

>> только от это к LamerOk, а не ко мне :)

>А ты не отмазывайся )))

А я, кроме как про Дебиан, ничего не утверждаю, потому что не знаю. Так что это не ко мне :)

JackYF ★★★★
()
Ответ на: комментарий от JackYF

> А как оно туда попало, можно полюбопытствовать?

>>Попасть в этот список может любой желающий.

> Пруфлинк, пожалуйста.

Пруфлинк, для тех, кто не знает общеизвестных вещей, по правильной ссылке. ))

Дублирую: http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-pac...

Я понимаю, что волшебное слово "официальный" оказывает на тебя особую социальную магию. )))

LamerOk ★★★★★
()
Ответ на: комментарий от iZEN

> Почему? Дерево портов формируется централизованно. Исходники лежат на своих сайтах.

И никаких зеркал не используется? Тогда конечно.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Там есть защита от Slow Retrieval?

Это вообще никаким боком не касается проблемы - покажи как ты это осуществишь.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Это ошибка безопасности в самом дизайне.

Эта ошибка в политике а не дизайне.

>В статье говориться именно об этом, и о том, каким способом эту угрозу свести к минимуму.

Чем инвалидацией пакетов?

r ★★★★★
()
Ответ на: комментарий от r

>>Там есть защита от Slow Retrieval?

>Это вообще никаким боком не касается проблемы - покажи как ты это осуществишь.

http://www.linux.org.ru/jump-message.jsp?msgid=2938374&cid=2940030

Мда. Читать нынче не в моде. В моде нынче пейсать. Вот что жж и прочие web 2.0 животворящие делают... ))

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>волшебное слово "официальный" оказывает на тебя особую социальную магию. )))

"уличную" забыл :)

Что же они в статье не указали адресочков своих подставных мирроров, а? Статья-то сама без пруфлинков.

JackYF ★★★★
()
Ответ на: комментарий от r

>>Это ошибка безопасности в самом дизайне.

>Эта ошибка в политике а не дизайне.

Эта политика - единственная приемлемая в некоторых случаях.

>Чем инвалидацией пакетов?

Не понял вопроса.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Пруфлинк, для тех, кто не знает общеизвестных вещей, по правильной ссылке. ))

НУ и почитай что там. Там написано "держать зеркало со старыми версиями". НУ пусть держит - это зеркало будет задискардено пакедж менеджером. А если кто-то обновляется только с этого зеркала - то он ССЗБ.

r ★★★★★
()
Ответ на: комментарий от LamerOk

Повторяю - это политическая проблема - а не софтовая. Если ты можешь записаться в армию - значит проблема не в том что ты когото можешь пристрелить ввереным тебе оружием а в том что ты можешь записаться в армию.

r ★★★★★
()
Ответ на: комментарий от JackYF

> "уличную" забыл :)

Не забыл, а заменил на "социальную". Копировать слово в слово - уныло. Парафраз - наше фсио. ))

> Что же они в статье не указали адресочков своих подставных мирроров, а? Статья-то сама без пруфлинков.

Ну, ты можешь обратиться непосредственно к самим мужикам за деталями, а развешивать айпишники в научных и технических работах пока еще не в моде. ))

LamerOk ★★★★★
()
Ответ на: комментарий от r

> НУ и почитай что там. Там написано "держать зеркало со старыми версиями"

Там написно немного не то и по английски.

LamerOk ★★★★★
()
Ответ на: комментарий от r

> Повторяю - это политическая проблема - а не софтовая.

И я повторяю. Вирусы и эксполиты - это политическая, социальная, национальная, расовая и религиозная проблемы. Повторять мы оба умеем, один недавний тред это прекрасно проиллюстрировал. xDD

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Эта политика - единственная приемлемая в некоторых случаях.

Тогда эта проблема неразрешима - если нормально апдейтится с враждебных сайтов - чего жаловаться?

>Не понял вопроса.

По ссылке:

In the future:

Use package managers that implement metadata expiration.

Что они предлагают - пользоваться HTTPS вместо HTTP - ну и чем это поможет ? Да ничем.

У них в э той статье все сводится к тому что "а мы будем старые несекурные дырявые версии держать". Ну пусть держат. Ключевое слово обновлятся - если в центральном листинге репозитария написано что пакет версии a.b.c - то этот малишиус репозитарий может засунуть a.b.c-1 в задницу.

Вари анты атаки описаны там как "инсталяция непатченых версий" - что возхможно только в том случае если они непосредственно источник и других нет, и вторая атака - если они недадут апдейтится - что возможно тоже только в указанном случае.

Это притянутый за уши сопротивляющийся осел - если они получат систему которая будет эксклюзивным зеркалом для определенной группы пользователей - это рпоблема идиотов которые так настроили себе системы. Если основной источник метаданных - официален - их зеркало старых версий идет просто в лес.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Там написно немного не то и по английски.

Да серьезно?

>Impact: What Can an Attacker Do With a Replay Attack?

>Vulnerable Package Installation

>... A malicious mirror can respond to the client with an outdated signed list of packages or an arbitrary list of outdated packages...

Для того чтобы это работало это зеркало должно быть тем самы которое говорит список последних версий - старых.

>Preventing Security Updates

>...All that an attacker needs to do is to continuously serve the client the same repository metadata....

То есть сферический конь в вакууме - зеркало которое по факту зеркалом не является потому что раздает старые данные.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Ну, ты можешь обратиться непосредственно к самим мужикам за деталями, а развешивать айпишники в научных и технических работах пока еще не в моде. ))

Не вопрос. Намылил им письмецо. Посмотрим, что ответят.

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

>>Мляааааа.. Какие же вы все, сцуко, Ъ! Чего только лоровцы не придумают, лишь бы не сходить по ссылке.

>> Итак, краткое хауту взлома, для Ъ: 1. Поднять зеркало пакета и попасть в официальный список зеркал. 2. Дождаться уязвимости в публичном сервисе (http, ssh, ssl и т.п.) 3. Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом. В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Скажем так - в итоге (если дистр - OpenSUSE/Novell/SLED/SLES) - сосёшь ты со своим миррором. Письмо в рассылку security по поводу этой ахинеи:


Date: Tue, 15 Jul 2008 17:10:52 +0200
From: Ludwig Nussel <ludwig.nussel@suse.de>
To: opensuse-security-announce@opensuse.org

[-- PGP output follows (current time: Wed 16 Jul 2008 05:04:35 PM MSD) --]
gpg: Signature made Tue 15 Jul 2008 07:10:52 PM MSD using RSA key ID 3D25D3D9
gpg: Can't check signature: No public key
[-- End of PGP output --]

[-- The following data is signed --]

Dear openSUSE and SUSE Linux Enterprise users,

Several news sites recently published articles citing a report about
attacks on package managers [1]. Some unfortunately chose a wording
that could be misunderstood as if a rogue mirror server could trick
YaST into installing malicious software when applying regular
(security-)updates.

This is not the case. All official update repositories for SUSE
Linux based products use cryptographically signed packages and meta
data. YaST verifies the cryptographic signatures and rejects any
file whose signature doesn't match. Therefore it's not possible for
a rogue mirror to introduce malicious software.

Another problem outlined in the report was that mirror servers could
intentionally serve an old version of the update repository.
Therefore clients using that mirror would not get the latest
security updates and potentially stay vulnerable to known and
presumably already fixed problems.

SUSE already addresses this issue too.
- Firstly, YaST will not automatically downgrade installed packages.
Therefore an outdated repository can not undo an already applied
security fix.
- Secondly, starting with version 10.3 openSUSE uses a central
download redirector that directly serves the meta data. Stale
mirrors are therefore detected immediately. To avoid sending
clients to mirrors that do not have certain files (yet), the
download redirector also continuously monitors it's mirrors. It
only redirects to servers that are known to have the file in
question.

For SUSE Linux enterprise products only servers owned by Novell
are used via secure https connections.

cu
Ludwig

[1] http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-pac...

--
(o_ Ludwig Nussel
//\
V_/_ http://www.suse.de/
SUSE LINUX Products GmbH, GF: Markus Rex, HRB 16746 (AG Nuernberg)

sda00 ★★★
()

Гы. Нормальный одмин у которого в локалке стоят юниксы делает свой мирор и софт дает ставить только с него. А сам мирорит с офф сайта.

Вывод. Не надо обновляться откуда попало.

eXOR ★★★★★
()
Ответ на: комментарий от r

> Тогда эта проблема неразрешима - если нормально апдейтится с враждебных сайтов - чего жаловаться?

Проблема как раз разрешима техническими методами. Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

> У них в э той статье все сводится к тому что "а мы будем старые несекурные дырявые версии держать". Ну пусть держат. Ключевое слово обновлятся - если в центральном листинге репозитария написано что пакет версии a.b.c - то этот малишиус репозитарий может засунуть a.b.c-1 в задницу.

Пакетменеджеры бывают разные. Очень разные. Там есть примеры и изменения метаданных. Как тебе понравится, если в зависимостях от GNU Utils окажется баговая версия апача, которого у тебя вообще нет?

Ключевое же слово всей работы - до настоящего времени всем было пох на безопасность работы с зеркалами. От себя добавлю, что еще долго будет пох. )) И этот тред - хорошее тому свидетельство. ))

LamerOk ★★★★★
()
Ответ на: комментарий от sda00

> Скажем так - в итоге (если дистр - OpenSUSE/Novell/SLED/SLES) - сосёшь ты со своим миррором.

Скажем так, если новость не про тебя, то ты сосешь с дублированием этого письма в треде третий раз. )) Почему на новость "голубые заражаются спидом" болезненно реагирует так много натуралов? ))

LamerOk ★★★★★
()
Ответ на: комментарий от eXOR

> Нормальный одмин у которого в локалке стоят юниксы делает свой мирор и софт дает ставить только с него.

Нет никакой связи между "нормальным одмином" и "юниксами в локалке" с одной стороны и тысячами машин, обновляющихся с различных групп зеркал по США и Европе с другой. Это почти не пересекающиеся множества.

LamerOk ★★★★★
()

Почему- то меня не удивляет тот факт, что эта новость пришла с быдло- секьюритилаб.

Негрософт уже не знает какими методами ножи в спину повтыкать.

anonymous
()
Ответ на: комментарий от JackYF

>Debian отпадает, там список зеркал статический на офсайте, редиректов нет, у злоумышленника нет возможности подписать неверный пакет - у него нет приватного ключа. Следовательно, лесом.

Официальные - да. Но вот чтобы поставить, например, cinerella, требуется добавить отдельное зеркало (там как раз cinerella, avidemux2 и что-то еще для работы с видео). Потом ты импортируешь ключ этого зеркала и дальше пройдут любые пакеты с этим ключом.

Если бы пакеты шифровались PGP и ключ для шифровки выдавался только доверенным сайтам, то жизнь была бы проще - создан пакет не для тех ключей, значит идет лесом. Добавил себе левый ключ - ССЗБ.

jackill ★★★★★
()
Ответ на: комментарий от Demon37

>Создать подставной сервер обновлений совсем нетрудно

+1

Как нетрудно в некоторой сетке подменить DNS и воткнуть на свой сервер левые обновления для microsoft.

Конечно, будет ругаться на подпись, но юзверь привык жмакать на кнопку не читая.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

Чего чего чего? А если я хочу установить систему определенных версий с определенного устаревшего миррора - мне недадуд это сделать? Если я на более старую железку попытаюсь воткнуть более старый линукс - он долже мне еще в инсталере выпендриться что подпись заэспайрилась?

Именно из-за таких советов эту статью называют феерическим бредом.

>Как тебе понравится, если в зависимостях от GNU Utils окажется баговая версия апача, которого у тебя вообще нет?

Сереьзно? И каким чудом этот пакет вдруг окажется подписанным сертификатом новела?

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Пока ты качаешь обновление со скоростью байт в секунду, твой сервис УЖЕ ВЗЛАМЫВАЮТ. Когда обновление будет скачено, в лучшем случае у тебя будет прописан шелл в (x)init, в худшем - руткит

Зачем так сложно?

>Ошибка всех менеджеров обновлений в том, что они априори полгают зеркало доверенной зоной, при том, что передают туда полную информацию о всех своих уязвимостях.

Не все, а только те, на которые есть ключи.

Закрыть данную дыру очень просто - прописать на все системные пакеты системные репозитории. Будет работать чуть медленнее на этапе инициализации. А механизм выбора с какого репа что качается есть уже года два везде.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Снимись с ручника: подставное зеркало входит в список официальных. А netselect - один из этапов установки.

С чего бы это?

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

Феерический бред.

Злоумышленник может правильно подписать... Ппц, чем он может правильно подписать? У нас что, новая дырка в криптографии, что кто угодно, может что угодно от кого угодно подписать? Хоть от майнтейнера, хоть от разраба? Если майнтейнер включает неглядя пакеты от разраба и подписанные разрабом, значит это уязвимость в мозгах майнтейнера дистриба!

Сменить содержимое и подобрать контрольную сумму, если подписуется только список пакетов... Ню-ню, удачи вам сначала в поиске коллизий, а потом еще потрахайтесь, что-бы так подменить содержимое. Последние вести с китайских полей по борьбе с md5 не радуют, там баба-математик уже который год пилит, но результаты вялые. Смогли в итоге сгенерить 2 сертификата, в общем кому интересно, сам найдет.

Ну дальше что? Можно держать зеркало со старыми дырявыми версиями?... Даунгрейда версий ведь не будет. И если зеркал несколько и среди них официальное, как часто по дефолту, то выберется самое свежее.

Ну если админ совсем дебил и снес все зеркала и настроил только одно, на злоумышленника, то сам он себе дурак.

Об чем шорох, не пойму

anonymous
()
Ответ на: комментарий от r

> То есть сферический конь в вакууме - зеркало которое по факту зеркалом не является потому что раздает старые данные.

Ну вот новость то о том, что эти ребята из сферического коня в вакууме сделали кубический сервер в стойке.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Ну вот новость то о том, что эти ребята из сферического коня в вакууме сделали кубический сервер в стойке.

Ничего они не сделали - все что они сделали это миррор с которого проапдейтилась куча народу. Они не показали пруф оф концепт атаки - например давнгрейд апача или блокировку апдейтов определенного софта в то время как на него вышли апдейты. Пускай теперь перестанут обновлять этот сервер и они увидят как туда больше никто не попадет.

r ★★★★★
()
Ответ на: комментарий от jackill

>Потом ты импортируешь ключ этого зеркала и дальше пройдут любые пакеты с этим ключом.

Я ставил mencoder с multimedia. Я _не_ импортировал ключ, я поставил этот пакет без него.

JackYF ★★★★
()

>обнаружили уязвимость в технологии обновления программного обеспечения

по ссылке Ъ. где они механизм то какой-то сначала обнаружили? при том один универсальный.

captcha: sortest

anonymous
()
Ответ на: комментарий от jackill

> Если бы пакеты шифровались PGP и ключ для шифровки выдавался только доверенным сайтам

Ну оно так и есть почти у всех уже. К примеру: http://wiki.debian.org/SecureApt

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

> С чего бы это?

С чего бы что? Входит в список зеркал? Перечитай тред и избався от "особой социальной магии".

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg). 2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы. 3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

Но как ниже перечисленное может решить эту проблему я не понимаю? >Проблема как раз разрешима техническими методами. >Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

anonymous
()
Ответ на: комментарий от LamerOk

> Ключевое же слово всей работы - до настоящего времени всем было пох на безопасность работы с зеркалами. От себя добавлю, что еще долго будет пох. )) И этот тред - хорошее тому свидетельство. ))

А вот это не правда, вся система зеркал изначально создавалась в условиях отсутствия доверия к серверам. Отсюда и подписи. Авторы топика облажались со своими призывами лет на десять.

И твой случай - атака на ищущий обновление сервер ничем не лучше простого сканирования сети на предмет уязвимости. Но тут бессилен и один репозиторий как у МС - можно спуффинг сделать.

Тут скорей игра на упережение - обновиться до появления експлойта.

fi ★★★
()
Ответ на: комментарий от LamerOk

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg).
2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы.
3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

Но как ниже перечисленное может решить эту проблему я не понимаю?
>Проблема как раз разрешима техническими методами.
>Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно. 

anonymous
()
Ответ на: комментарий от jackill

> Закрыть данную дыру очень просто

По умолчанию она широко открыта на половине инсталляций. И никто не хочет отказываться от зеркал и ддосить центральные репозитарии.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

пеар своего собственного пакедж менеджера. Причем начали они хреново - обосрали других. Я думаю их пакедж менеджер с таким началом станет очень популярным.

r ★★★★★
()
Ответ на: комментарий от r

> А если я хочу установить систему определенных версий с определенного устаревшего миррора - мне недадуд это сделать?

Вариант "заставят дать в ручную согласие"/"выстваить опцию в конфиге" ты, разумеется, не рассматриваешь. Это не входит в прием "женский аргумент".

> И каким чудом этот пакет вдруг окажется подписанным сертификатом новела?

Потому что этот пакет был действительно подписан сертификатом новелла. Когда про дыру еще никто не знал.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Вариант "заставят дать в ручную согласие"/"выстваить опцию в конфиге" ты, разумеется, не рассматриваешь.

На импорт ключа я и так даю согласие руками всегда. Экпирейшен к чему приведет - к тому что он меня раз в месяц будет переспрашивть?

[v] - не задавать дурацких вопросов.

>Потому что этот пакет был действительно подписан сертификатом новелла.

А что мы уже научились менять пакеты так чтобы их контрольные суммы совпадали? Или как туда попала зависимость от дырявого апача?

r ★★★★★
()
Ответ на: комментарий от r

> Ничего они не сделали - все что они сделали это миррор с которого проапдейтилась куча народу. Они не показали пруф оф концепт атаки - например давнгрейд апача или блокировку апдейтов определенного софта в то время как на него вышли апдейты.

Может им еще и взломать надо было пару серверов? А потом отправится со свежей статейкой к окружному прокурору? Читай статью. Если ты не в состоянии понять "пруф оф концепт" со слов, то не трать время.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Packages are essentially trusted forever once they or repository metadata describing them has been signed. This means that even after a package has a vulnerability discovered in it, clients will continue to be willing to install that insecure package. An attacker can replay the correctly signed packages or metadata from a previous release and your computer will install software with flaws that the attacker can exploit.

Такая атака не получится. Не знаю уж как работает apt, но в yum/rpm подписи сравниваются после скачивания пакета. Если ты не можешь подписать пакет (а ты не можешь, т.к. у тебя нет ключа), твой пакет идет лесом, да еще и выдает предупреждение о том, что найденного ключа у тебя не наблюдается. Единственный способ его поставить (если он сохранился, а не убит) - руками.

>and our mirrors were contacted by thousands of clients, even including military and government computers!

Могу перевести слово "contacted" - да, они на него стучались. И что? Он в списке, на него и должны были стучаться.

>Attackers can respond to the distribution's queries with the expected answer while at the same time targeting the public at large or individual clients with different responses. These targeted responses can include old signed files or manipulated unsigned files.

Угу. Так я и думал. Unsigned не встанет без force. И то, что они Васю редиректнут на другой сервак им не поможет без ключа.

>When a user installs a package, their package manager retrieves from a repository mirror the list of available packages. A malicious mirror can respond to the client with an outdated signed list of packages or an arbitrary list of outdated packages, depending on characteristics of the package manager

Действительно может. Но запрос идет по всем зеркалам и клиент забьет на это зеркало болт. А подписи у них, опять же, нет.

>All that an attacker needs to do is to continuously serve the client the same repository metadata. Over time, even though vulnerabilities become known in various packages and new versions become available, the client will never see them when updating.

Только вот apt и yum качают с разных зеркал список. Причем, не найдя апдейт в одном, лезут в другой по зависимостям. Дистрибутивы в legacy, несомненно, захотят новый софт, но список не будет подписан верным ключом и атакующий опять обломается.

>For example, it is known that an earlier version of OpenSSL for Debian has a security flaw. The list of files from the repository that previously included this package is still correctly signed.

Допустим, в ухе у меня серьга. Да, у меня нет корабля. Но допустим, что я пират.

>Manually update your systems (and local mirror caches)

Остер должен включить это во вредные советы.

>Use signed repository metadata. If your package manager or distribution does not yet support signed metadata but only signed packages, at least require signed packages until signed metadata is supported.

Это был голос из далекого прошлого.

http://en.opensuse.org/Libzypp/Metadata_Signature

jackill ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.