V Linuxe extrémne kritická chyba, zraniteľné sú PC, servery, routery a iné

Značky: Linuxbezpečnosť

DSL.sk, 17.2.2016

V štandardnej knižnici jazyka C glibc, GNU C Library, ktorá je základnou knižnicou štandardne používanou v operačnom systéme Linux, sa nachádza extrémne kritická bezpečnostná zraniteľnosť, ktorá otvára množstvo počítačov a iných zariadení vzdialeným útokom cez Internet.

Zraniteľnosť s označením CVE-2015-7547 sa nachádza v implementácii prekladu doménových mien na IP adresy a zneužiť sa dá pri použití funkcie getaddrinfo().

Knižnica v niektorých prípadoch, keď sa paralelne pošle požiadavka na získanie IPv4 a IPv6 adries respektíve A a AAAA DNS záznamov, pri väčších odpovediach ako 2048 bajtov použije nedostatočne veľký buffer na zásobníku a prepíše v ňom pamäťové štruktúry.

To podľa Google umožňuje pri špeciálnych podvrhnutých DNS odpovediach útočníkovi spustiť ním zvolený kód.

Útočník pritom nemusí mať pod kontrolou priamo DNS server využívaný zraniteľnými inštaláciami Linuxu. Útok môže zrealizovať vhodnými podvrhnutými DNS záznamami, ktoré prejdú aj rekurzívnymi a cache DNS servermi. Útok je tak možné zrealizovať len donútením Linuxu preložiť útočníkom ovládanú doménu, čo je možné zrealizovať mnohými spôsobmi.

Chyba sa nachádza v glibc od verzie 2.9 vydanej v roku 2008, všetkým užívateľom zraniteľnej verzie je odporúčané okamžite knižnicu aktualizovať. Zraniteľnosť je ale o to vážnejšia, že softvéry môžu byť prekompilované staticky a pre opravu chyby tak budú musieť byť vydané aj nové verzie takýchto softvérov nielen knižnice.

Ilustračný obrázok, logo Linuxu, kliknite pre zväčšenie (obrázok: Larry Ewing / Simon Budig / Anja Gerwinski / Wikipedia)

Zároveň sa knižnica môže používať aj v operačných systémoch založených na Linuxe prípadne iných unixových systémoch použitých v rozličných zariadeniach pripojených na sieť, vrátane napríklad routerov, set-top-boxov a podobne. Aktualizácia firmvéru týchto zariadení v súčasnosti ale nie je bežná a výrobcovia často nevydávajú ani nové verzie firmvérov opravujúce vážne bezpečnostné chyby respektíve ich nevydávajú pre zariadenia staršie ako pár rokov.

Typických domácich WiFi routerov nižšej triedy sa problém často netýka, keď tieto okrem iného pre malé množstvo flash pamäte na úrovni 4 alebo 8 MB používajú efektívnejšie implementácie štandardnej C knižnice, napríklad uClibc. glibc je ale už možné nájsť napríklad aj v domácich linuxových set-top-boxoch a vyšších triedach routerov.

Viaceré linuxové distribúcie vydali aktualizácie opravujúce problém hneď v utorok. V prípade nedostupnosti aktualizácie alebo nemožnosti jej aplikovania tvorcovia glibc odporúčajú v oznámení niekoľko opatrení, ktoré zneužitiu zraniteľnosti zabránia. Hlavnými je na firewalle obmedziť veľkosť DNS odpovedí cez UDP na 512 bajtov a u TCP na 1024 bajtov a väčšie odpovede zahadzovať.

Chybu identifikovali nezávisle Google a Red Hat, na základe jej nahlásenia ešte v júli 2015. Google ju identifikoval potom ako ssh klient jedného z jeho zamestnancov opakovane padal pri pripájaní sa na konkrétny server.

Tvorcovia glibc v čase oznámenia zraniteľnosti a vydania aktualizácie v utorok nevedeli o žiadnych útokoch využívajúcich zraniteľnosť.




Najnovšie články:



Diskusia:

jojojo Od: LinuxAdmin | Pridané: 17.2.2016 11:59 Takých chyb v Linuxe este budeeeee jajajaaaaj Odpovedať Známka: -1.1 Hodnotiť:

Re: jojojo Od: sak ja ne? | Pridané: 17.2.2016 12:06 Každý OS je plný dier o ktorých nevieme, len Apple nemá diery - u neho je to nový "feature". Odpovedať Známka: 7.7 Hodnotiť:

Re: jojojo Od: jasones | Pridané: 17.2.2016 12:37 apple by si mal patentovat emental Odpovedať Známka: 8.0 Hodnotiť:

Re: jojojo Od: 4Maniak. | Pridané: 17.2.2016 13:06 Logo tučniaka by mali upraviť s dierou v hlave. :-) Odpovedať Známka: -1.2 Hodnotiť:

Re: jojojo Od: menomeno | Pridané: 17.2.2016 14:00 Lepsi tucniak s dierou v hlave ako okno bez skla. Lebo ta diera sa opravi ale okna bez skla to je moderna ficura ... Netreba ich umyvat... Odpovedať Známka: 3.7 Hodnotiť:

Re: jojojo Od: sak ja ne? | Pridané: 17.2.2016 14:07 Ešteže jabĺčku narovinu dali dierku do loga Odpovedať Známka: 8.9 Hodnotiť:

Re: jojojo Od: superTUX | Pridané: 17.2.2016 15:56 alebo velmi zleho cervika Odpovedať Známka: 8.8 Hodnotiť:

Re: jojojo Od: syntaxterrorX | Pridané: 17.2.2016 16:11 Uroboros to uhrá v každom prípade. Odpovedať Známka: 5.0 Hodnotiť:

Re: jojojo Od: MAJAK - neregistrovany | Pridané: 17.2.2016 23:36 bsd certik je moj fejvrit :> Odpovedať Známka: 10.0 Hodnotiť:

Re: jojojo Od: rolh | Pridané: 17.2.2016 15:36 Neurazat Apple, schvalne videl si nejaku dieru ze vniknes na dialku do OSX El Captain??? Odpovedať Známka: -4.0 Hodnotiť:

Re: jojojo Od: sak ja ne? | Pridané: 17.2.2016 15:38 V logu Odpovedať Známka: 6.2 Hodnotiť:

Re: jojojo Od: Majk0 | Pridané: 17.2.2016 22:22 Pred pár mesiacmi sme v OS X skúšali eskaláciu práv na roota z obyčajného usera. Jedným jednoduchým príkazom. To je o dosť väčšia diera. Info nájdeš tu, tu a tu: http://dopice.sk/gy6 Odpovedať Známka: 10.0 Hodnotiť:

Re: jojojo Od: xvzf | Pridané: 17.2.2016 13:11 Nie len v Linuxe. Vsade. Kym sa budu pouzivat nebezpecne jazyky ako C. V Linuxe to ma tu vyhodu ze ich dokazeme najst a opravit :) Odpovedať Známka: -3.5 Hodnotiť:

Re: jojojo Od: huger | Pridané: 17.2.2016 13:19 nebezpecny jazyk C :-) a co je podla teba bezpecny jazyk? c#, alebo java? Odpovedať Známka: 2.4 Hodnotiť:

Re: jojojo Od: PCnity-lmlkkl | Pridané: 17.2.2016 14:12 Odpoviem za neho... Napriklad Rust. Ale problem je inde, hadajte kde? :) Odpovedať Známka: 9.1 Hodnotiť:

Re: jojojo Od: quix_ | Pridané: 17.2.2016 14:38 velke +1 a kvety za rust Odpovedať Známka: 8.8 Hodnotiť:

Re: jojojo Od: 4Maniak. | Pridané: 17.2.2016 15:13 Je to len ďalší nezmysel rozširujúci radu C... Odpovedať Známka: -7.7 Hodnotiť:

Re: jojojo Od: quix_ | Pridané: 17.2.2016 20:40 mas v hlave nasolene miesto mozgu? koncept ownership/borowing alebo ako sa tomu nadava v ruste je v C bezny vsak? :) Odpovedať Známka: 4.3 Hodnotiť:

Re: jojojo Od: sensei-san | Pridané: 17.2.2016 15:13 Samozrejme, že jazyk samotný nie je bezpečný ani nebezpečný. Len v niektorom stále balansuješ nad priepasťou a pri druhom občas padneš do jamy. Dajme programovacím jazykom známku z oblasti bez bezpečnosti. 10 je najlepšia, 0 ja najhoršia. Koľko dáš C a koľko dáš Jave? Odpovedať Známka: 10.0 Hodnotiť:

Re: jojojo Od: sak ja ne? | Pridané: 17.2.2016 15:15 5/7 Odpovedať Známka: -5.0 Hodnotiť:

Re: jojojo Od: syntaxterrorX | Pridané: 17.2.2016 15:50 01/01 Odpovedať Známka: 8.2 Hodnotiť:

Re: jojojo Od: huger | Pridané: 17.2.2016 18:46 ked sa takto pytas, tak C dam 5, pretoze nieje ani bezpecny ani nebezpecny, ale je maximalne univerzalny a mozes v nom bitmi posuvat hore dole ako v assembleri, len pohodlnejsie. To aky ja nakoniec program, zalezi na programatorovi. javu poznam len z rychlika tak sa nevyjadrujem. Este dodam, ze osobne som zastancom programovania v starom C, pripadne okresanom C++ (nemam rad triedy). Vsetko je krasne jednoduche a zrozumitelne. Ale samozrejme, kazdy nech si pise v com chce. Odpovedať Známka: 2.3 Hodnotiť:

Re: jojojo Od: sensei-san | Pridané: 18.2.2016 8:08 Znamená to, že sú jazyky, ktorým by si dal 4/3/2/1 ? Pretože ja by som nižšiu známku než C dal len assembleru. Mám C rád, ale treba priznať, že neskúsený programátor sa tam sekne raz-dva. Odpovedať Známka: 10.0 Hodnotiť:

Re: jojojo Od: xvzf | Pridané: 18.2.2016 10:52 a ani skuseny sa vzdy chybam nevyhne Odpovedať Hodnotiť:

Re: jojojo Od: huger | Pridané: 18.2.2016 13:40 v podstate mas pravdu. Pod C je uz len assembler. A prave preto mam to C tak rad, pretoze vysledny kod, je maximalne prisposobitelny. A to ze sa v nom clovek lahko sekne je samozrejme pravda. Treba davat pozor. Odpovedať Hodnotiť:

Re: jojojo Od: ceckos++ | Pridané: 17.2.2016 19:30 tak v jave kod z buffer overflow chybou nenapises (resp. nezneuzijes) ked pri pristupe do pola za posledny prvok dostanes vzdy OutOfBoundException . Pokial viem tak rovnako to nejde aj v c#, php, javascript, python ... Odpovedať Známka: 1.4 Hodnotiť:

Re: jojojo Od: syntaxterrorX | Pridané: 17.2.2016 20:00 Až na taký detail, že kompilátor nie je jazyk. Odpovedať Známka: -3.3 Hodnotiť:

Re: jojojo Od: trolololol | Pridané: 18.2.2016 9:53 Preco sem pleties kompilator? Kompilatorom ti kod prejde ale pri behu vyhodi OutOfBoundException. Odpovedať Hodnotiť:

Re: jojojo Od: syntaxterrorX | Pridané: 18.2.2016 10:16 Akurát bez kompilátora je každý jazyk bezpečnejší ako šlabikár analfabetovi. Odpovedať Známka: 0.0 Hodnotiť:

glibc Od: superTUX | Pridané: 17.2.2016 12:01 a teraz som zvedavy kedy a ci vobec to opravi apple. MS ten vzdava aktualizacie raz za 2 tyzdne, linux po objaveni chyby a apple iba vydava nove derave verzie OSX s novym balastom pre uzivatela typu split screen view Odpovedať Známka: 6.0 Hodnotiť:

Re: glibc Od: vzdava | Pridané: 17.2.2016 12:21 vzdava ? Odpovedať Známka: 6.2 Hodnotiť:

Re: glibc Od: Alino: | Pridané: 17.2.2016 12:38 MS to rovno vzdava :D Odpovedať Známka: 8.1 Hodnotiť:

Re: glibc Od: @dam | Pridané: 17.2.2016 12:38 A co ma Apple s touto dierou v Linuxe? Som nejak nepochopil tvoj prispevok... Odpovedať Známka: -3.8 Hodnotiť:

Re: glibc Od: superTUX | Pridané: 17.2.2016 13:10 tak si dopln informacie o BSD a mach-o systemoch vole alebo chod naspat drat nohavice do skoly Odpovedať Známka: 3.0 Hodnotiť:

Re: glibc Od: kekeket | Pridané: 17.2.2016 15:43 zrejme chces naznacit ze os x a linux su unix like systemy, su vsak odlisne, a ten na koho si reagoval mal pravdu. OS X nepouziva glibc. Tato vulnerabilita sa OS X netyka pokial si si glibc nedoinstaloval sam a tym padom to je uz tvoj problem. Odpovedať Známka: 7.8 Hodnotiť:

Re: glibc Od: .em | Pridané: 17.2.2016 13:04 install arch $ paclog glibc Age Commit message Author Lines 7 hours upgpkg: glibc 2.22-4 allan -155/+7 fix CVE-2015-7547 CVE-2015-8776 CVE-2015-8777 CVE-2015-8778 CVE-2015-8779 Odpovedať Známka: 1.2 Hodnotiť:

Re: glibc Od reg.: jozef gikto | Pridané: 17.2.2016 13:37 uz je to tu : * SECURITY UPDATE: glibc getaddrinfo stack-based buffer overflow - debian/patches/any/CVE-2015-7547-pre1.diff: fix memory leak in resolv/nss_dns/dns-host.c. - debian/patches/any/CVE-2015-7547-pre2.diff: fix memory leak in include/resolv.h, resolv/gethnamaddr.c, resolv/nss_dns/dns-canon.c, resolv/nss_dns/dns-host.c, resolv/nss_dns/dns-network.c, resolv/res_query.c, resolv/res_send.c. - debian/patches/any/CVE-2015-7547.diff: fix buffer handling in resolv/nss_dns/dns-host.c, resolv/res_query.c, resolv/res_send.c. - CVE-2015-7547 Odpovedať Známka: 6.7 Hodnotiť:

Vazena redakcia Od: qwertyuiop1 | Pridané: 17.2.2016 12:18 Routre, settopboxy a ine embedded zariadenia zvycajne nepouzivaju glibc vobec. Pouzivaju "alternativne" libc, pretoze nepotrebuju vsetky ficury, ktore glibc obsahuje - nepotrebuju i18n, nepotrebuju nsswitch apod. To co je na serveri alebo desktope super ficura, v embedded zariadeni je bloat, ktory iba navysuje cenu potrebnej flash pamate. Napriklad routery zvycajne obsahuju uClibc. Odpovedať Známka: 8.0 Hodnotiť:

Re: Vazena redakcia Od: PcnityKJHIMH | Pridané: 17.2.2016 14:15 Tak, ale len male skatulky. Rovanko ako musl. Vacsie kraxne co su bloated mavaju aj glibc... Odpovedať Známka: 10.0 Hodnotiť:

buffer overrun Od reg.: l1@p5 | Pridané: 17.2.2016 12:18 Za strcpy a sprintf sekat prsty .. alebo za trest nechat vyvojara pisat v JavaEE :D :D :D Odpovedať Známka: -5.3 Hodnotiť:

Re: buffer overrun Od reg.: jebebejbe | Pridané: 17.2.2016 12:21 skusil si niekedy otvorit po sebe 10 rocny zdrojak? nechcel si si potom obsekat prsty? Odpovedať Známka: 9.4 Hodnotiť:

Re: buffer overrun Od: syntaxterrorX | Pridané: 17.2.2016 12:43 Programátori také dilemy nemajú dôvod riešiť. Odpovedať Známka: 2.0 Hodnotiť:

Re: buffer overrun Od: RIKK | Pridané: 17.2.2016 13:20 no potom to vypada nejak podobne: coding sucks http://dopice.sk/gxx Odpovedať Známka: -2.5 Hodnotiť:

Re: buffer overrun Od: quix_ | Pridané: 17.2.2016 14:40 ruku na srdce,niekedy staci par mesiacov a nasral by som si do ruk. Odpovedať Známka: 10.0 Hodnotiť:

Re: buffer overrun Od: Ferikuš | Pridané: 17.2.2016 18:09 stačí ked si naštíš....netreba to tak dlho a ťažko umývať :-) Odpovedať Známka: 6.7 Hodnotiť:

Re: buffer overrun Od: huger | Pridané: 17.2.2016 18:48 suhlasim :) Odpovedať Známka: 7.1 Hodnotiť:

Re: buffer overrun Od: XMen | Pridané: 17.2.2016 12:28 Co mas proti JavaEE? Nahodou je to celkom dobra technologia a oproti predchadzajucim verziam sa podstatne vylepsili (nech zije spring). Odpovedať Známka: 2.3 Hodnotiť:

Re: buffer overrun Od: whatthigo | Pridané: 19.2.2016 8:52 čo sa ti nepáči na strcpy? Odpovedať Hodnotiť:

.-..-..- Od: arch_bastard | Pridané: 17.2.2016 12:48 Install Ar Odpovedať Známka: 4.3 Hodnotiť:

Re: .-..-..- Od: stoneage | Pridané: 18.2.2016 13:18 Segmentation fault. Odpovedať Hodnotiť:

Starbutts, okuliare bez skiel a vypadlo WiFi, tak odišli. Od: Dogepesík | Pridané: 17.2.2016 12:58 Uninstall arch. Odpovedať Známka: 3.0 Hodnotiť:

Re: Starbutts, okuliare bez skiel a vypadlo WiFi, tak odišli. Od: janejaky | Pridané: 17.2.2016 14:02 Chcel si napísať Update Arch. Odpovedať Známka: 6.8 Hodnotiť:

red kim Od: mustafa kim | Pridané: 17.2.2016 12:59 install red star Odpovedať Známka: 6.7 Hodnotiť:

Re: red kim Od: dedede | Pridané: 17.2.2016 13:13 install life Odpovedať Známka: 7.3 Hodnotiť:

Re: red kim Od: Montauk=blackmesa | Pridané: 17.2.2016 20:59 Install half life Odpovedať Známka: 10.0 Hodnotiť:

Re: red kim Od: Kórejčan programuje pre gayboy | Pridané: 18.2.2016 0:13 Install half life 3 Odpovedať Známka: 10.0 Hodnotiť:

Re: red kim Od reg.: Theglue | Pridané: 18.2.2016 7:58 Dal som ti + za half life 3 Odpovedať Známka: -5.0 Hodnotiť:

Nechápačky Od reg.: Trolitel | Pridané: 17.2.2016 13:37 Tak teraz nechápem. Tak je tá chyba v Linuxe či nie? Lebo niesom si 100% istý či je glibc súčasťou kernelu. Odpovedať Známka: 0.0 Hodnotiť:

Re: Nechápačky Od: asdfafs | Pridané: 17.2.2016 13:52 nieje Odpovedať Známka: 8.6 Hodnotiť:

Re: Nechápačky Od: qwertyuiop1 | Pridané: 17.2.2016 13:53 Je to chyba v linuxovych distribuciach obsahujucich glibc (Ubuntu, Debian, Redhat, Fedora, Centos...), nie v jadre Linuxu (t.j. nie routery, settopboxy, mobily). Odpovedať Známka: 8.8 Hodnotiť:

OZNAM Od: 'PPQ' | Pridané: 17.2.2016 13:41 Mam nachystany fix, ale sa mi neda vycentrovat! Odpovedať Známka: 10.0 Hodnotiť:

Re: OZNAM Od: quix_ | Pridané: 17.2.2016 20:41 si vygeneruj UUID a sliceni, potom pojde Odpovedať Známka: 6.7 Hodnotiť:

Re: OZNAM Od reg.: Theglue | Pridané: 18.2.2016 9:01 Vidim ze sa tu v linuxe vyznate mam na vas jednu otazku da sa linux mint naistalovat na usb tak aby ho spustalo ako win proste aby sa nemuselo nic stlacat v biose proste len zapnes pc a hned nabehne linux mint,ziadne tabulky z nastavenim,ale musi to ist na usb pc by nemalo hdd da sa to? Ci ani nie? Dakujem za vsetky otazky a prajem pekny den Odpovedať Hodnotiť:

Re: OZNAM Od: quix_ | Pridané: 18.2.2016 12:20 ano,vsetko sa da, nic nie je nemozne. a otazky nemam, dakujem. Odpovedať Známka: 10.0 Hodnotiť:

Re: OZNAM Od: poiuy | Pridané: 18.2.2016 13:12 Da sa to. Nastav si poriadie boot v biose. Najprv USB potom HDD. Odpovedať Hodnotiť:

Re: OZNAM Od: 4Maniak. | Pridané: 18.2.2016 13:47 A môže sa stať, že jeho mašina nenabootuje z jeho USB... Odpovedať Hodnotiť:

LINUX a chyba Od: len tak.. | Pridané: 17.2.2016 15:29 Odpovie mi niekto na otazku? Linux mam nainstalovany na 2 strojoch, oba su vlastne stroje ako zalohy z PC, nieco ako NAS, ale len po lokálnom nete, DNS ktore su nastavene v danom linuxe je DNS ako router ( mikrotik ) stroje nepristupuju na internet... traffic ktory je, je iba po lokalke, pripadne cez VPN do lokálky, alebo cez EoIP do lokálky.. Je to technicky zranitelne? Diky Odpovedať Známka: 10.0 Hodnotiť:

Re: LINUX a chyba Od: sak ja ne? | Pridané: 17.2.2016 15:38 Áno Odpovedať Známka: 10.0 Hodnotiť:

Re: LINUX a chyba Od: syntaxterrorX | Pridané: 17.2.2016 15:40 Je. Odpovedať Známka: 10.0 Hodnotiť:

Re: LINUX a chyba Od reg.: Trolitel | Pridané: 17.2.2016 17:53 To Odpovedať Známka: 10.0 Hodnotiť:

Re: LINUX a chyba Od: letilorT | Pridané: 17.2.2016 21:55 technicky Odpovedať Známka: 10.0 Hodnotiť:

Re: LINUX a chyba Od: Ferikuš | Pridané: 17.2.2016 18:13 zraniteľné Odpovedať Známka: 10.0 Hodnotiť:

glibc Od: obohacovač | Pridané: 17.2.2016 15:36 Akurát v nedeľu som inštaloval túto knižnicu (kvôli Pidginu - konkrétne jeho rozšíreniu PurpleFacebook (lebo Facebook chat cez XMPP už zrejme nieje podporovaný)) Internet jednu dobu išiel, jednu dobu nešiel, tak som pogooglil a zistil, že je treba vypnúť ipv6 vo všetkých sieťových zariadeniach, aj v loopback. Je zaujímavé, že s takou vážnou chybou sa zatiaľ nezaoberali. Veď IPv6 tu bude "čoskoro", hovorili mi už na strednej škole :-) Odpovedať Známka: 2.7 Hodnotiť:

Re: glibc Od: brmbrm | Pridané: 17.2.2016 20:47 To este hodne dlho potrva, nez sa konecne realne zacne pouzivat IPv6. Tie lastovicky, ktore na nej ficia uz hodne dlhsi cas su ako dynosauri pred vymretim - ne a ne presvedcit okolie, aby uz tiez presedlali. Odpovedať Známka: 3.3 Hodnotiť:

Re: glibc Od: qwertyuiop1 | Pridané: 17.2.2016 21:06 Mam vo firefoxe rozsirenie SixOrNot, len tak zo srandy. Zelena 6-tka tam svieti castejsie, nez by clovek ocakaval. Komplet Google tym ide - Search, Gmail, Maps, Youtube, z ostatnych napriklad OpenStreetMap, Redhat, Oracle, Debian. Aj na slovensku sa obcas nieco najde, napriklad Dennik N. Odpovedať Známka: 10.0 Hodnotiť:

Re: glibc Od: qwertyuiop1 | Pridané: 17.2.2016 21:08 A ako si instaloval tuto kniznicu? Ved je to default vo vsetkych desktopovych linuxoch... A IPv6 v nej funguje uplne bez problemov. Odpovedať Hodnotiť:

Re: glibc Od: Imatersit | Pridané: 18.2.2016 7:44 Problem je zranitelnost a nie nefunkcnost IPv6, ta samozrejme funguje bez problemov, a ano je v kazdej distribucii tiez by ma zaujmalo ako ju nainstaloval. Nadpis extremne kriticka chyba v Linuxe pricom ta chyba ani nieje extremna ani v Linuxe je dost mimo. Zranitelne su routre ani nehovorim to je dalsia vec co do toho nadpisu nepatri. Odpovedať Známka: 10.0 Hodnotiť:

..... Od: Devin devín | Pridané: 19.2.2016 0:05 Pan priekazny, spytajte sa prosim niekoho, kto ma dostudovanu aspon pomocnu skolu, ako sa pouziva slovicko "ked". Dakujem. Odpovedať Hodnotiť:

Pridať komentár