NoticiasLinux: Autor do djbdns reconhece vulnerabilidade e paga a recompensa prometida
Li no NotíciasLinux que Dan J. Berstein, autor do qmail e djbdns (ambos deixaram de ser softwares não-livres em 2007), premiou com mil dólares o descobridor de uma vulnerabilidade no djbdns, atendendo aos seus próprios termos de garantia, colocados em prática desta forma pela primeira vez em pelo menos uma década, e que agora irão mudar, segundo o comunicado do autor. Uma garantia similar se aplica ao qmail.
Saiba mais (noticiaslinux.com.br).
• Publicado por Augusto Campos em
2009-03-10
@brlinuxblog
Feed RSS
Respeito quem cumpre suas promessas e reconhece seus errors, mesmo que passe a ter um bordão ridículo, como “Only two remote holes in the default install, in more than 10 years!”
Ou senão como as placas de acidente de trabalho:
“This is the 0 day without a remote hole” …
@Eri
Boa, também gosto disso. Já li a respeito do djbdns e parece que ele é o único dns linux que tem integracao com o ldap. Porem nao vi nenhuma grande vantagem nisso.
Abs!
O tal do DJB, que pelos seus trabalhos não deixa dúvida sobre sua inteligência, tem o dom de cagar na licença de seus softwares. Licença que dificulta a adoção desses softwares pelas distribuições pois não permite a redistribuição do código modificado.
Um howto de instalação do qmail atualmente tem trocentos patches e um zilhão de gambiarras para ele funcionar normalzinho.
Pô DJB, libera esse negócio pra galera que o povo gosta mesmo é de apt-get.
Como diz o texto da notícia acima, o djbdns (e o qmail) deixaram de ser não-livres já em 2007.
LOL!
Coitado do ego do Dan, que diga-se de passagem é um gênio da TI.
Quando crescer quero ser igual ele + Wietse do Postfix + Andrew Tenembaum kkkkk (modesto o menino né?) :D
Voltando ao tópico, é bom ver que nem o fodão do Dan escapa de criar “bugs”, e que agora vai ter que PAGAR e “admitir que estava errado”.
Falaram do OpenBSD por aqui, me lembro que alguns anos atrás o grupo GOBBLES codou um exploit que dava root em 3 segundos explorando o SSH em uma instalação default (OpenBSD 3.0 & 3.1)
e ainda zuou o criador do OpenBSD, que sempre se acha o fodão (e realmente é) heheh
Complementando: UM DIA A BATATA ASSA!
Esse foi um dos dois únicos buracos na instalação padrão. Foi um bug de buffer overflow no OpenSSH. O OpenBSD não foi o único sistema operacional afetado, diga-se de passagem:
http://xforce.iss.net/xforce/xfdb/9169
O “bordão ridículo” serve para alertar os administradores e usuários que o sistema operacional usa configurações sãs por padrão. Há a concepção de que o bom administrador de sistemas deve fechar todas as portas que não estiverem sendo usadas. A recíproca é verdadeira: o bom sistema operacional não deve abrir portas à toa.
Desde então eles estão em domínio público.
“um bordão ridículo, como “Only two remote holes in the default install, in more than 10 years!””
Me pergunto quantas falhas exploraveis remotamente o kernel do linux teve nos últimos 10 anos…
Êta recalque…