Как нашли Badlock

[abbra]

После насыщенного бессонными ночами и напряженной работой месяца, мы выпустили обновления Samba для закрытия дыр Badlock. Я написал статью в блог Red Hat Enterprise Linux, где рассказываю о том, что это такое и как его открыли.

Comments

[beldmit]

Обновления, наверное, для Samba?

[abbra]

Поправил текст. :)

[beldmit]

Прочитал. Осознал масштаб бедствий в полной мере.

[ifreedom]

Титанический труд по координации и портированию патчей, круто!

Оффтоп

[techquisitor]

Скажите, по FreeIPA можно вам вопросы позадавать? Точнее, он у меня всего один. :)

Re: Оффтоп

[abbra]

можно.

Re: Оффтоп

[techquisitor]

Смотрите какая ситуация. Есть развёрнутый FreeIPA и некая машинка в нём зарегестрированная. Также на этой машине сгенерён CRL, который FeeIPA прекрасно скушал и выполнил Issue, сгенерив в ответ валидный мнениню IPA сертификат. А теперь вопрос, какой тип сертификата там генерируется? Ничего внятного я по теме не нашёл или проглядел. Вроде похож на X.509, но нет полей BEGIN CERIFICATE/END CERTIFICATE и при попытке проверить этот сертификат с помощью openssl мне выдаётся сообщение об ошибке unable to load certificate. И если это не x.509, то как вытащить этот сертификат в X.509, чтобы FreeIPA выступал полноценным CA. Ведь по идее, всё это этого внутри есть. Там же Dogtag унутре.

Re: Оффтоп

[abbra]

Все сертификаты -- x.509.

У команд user-show, host-show, service-show есть опция --out, которая сохраняет файл с сертификатом локально в формате PEM.

ipa user-show username --out=my.crt
--------------------------------------
Certificate(s) stored in file 'my.crt'
--------------------------------------
.... [вырезано] ...
$ file my.crt
my.crt: PEM certificate
$ openssl x509 -in my.crt -issuer -fingerprint -noout
issuer= /O=EXAMPLE.COM/CN=Certificate Authority
SHA1 Fingerprint=XX:XX:XX:XX:XX....:XX:XX

[xxxxx]

наверное ты имел в виду "бессонные ночи", потому что... ну в общем сам понимаешь, "бессонница" это немного про другое

[abbra]

Поправил. :)