LINUX.ORG.RU

Тысячи уязвимостей, почти все без CVE: обсуждение OSS-Fuzz в oss-security

 oss-fuzz, oss-security, ,


0

0

Тихо и незаметно, в одном из самых известных списков рассылки на тему безопасности, развивается драма – на найденные проектом по фаззингу OSS-Fuzz уязвимости не пишутся патчи и не закрепляются идентификаторы уязвимостей CVE, тем самым оставляя десятки ошибок без исправлений.

https://seclists.org/oss-sec/2019/q2/165

Deleted

For distributions that promise to backport all security fixes that

creates a situation where it's almost impossible to keep that promise, they just don't have the manpower to scale up at the same speed as people find bugs. Maybe the main takeaway here is to just recognize that, and maybe distros should be more honest here and be clear what they can and can't do. And if you run a parser in a high risk environment you may not want to rely on the outdated version shipping in some LTS distribution.

В ощщем, LTS с бэкпортингами устарели и не нужны, только роллинг-релиз с последними сборками из гитмастера, только хардкор!

Harald ★★★★★
()

А ответ в том, что все эти cve это лишь возможность для репортящего ей пропиарить себя как Ъспециалиста по безопасности. Реслно на поиск и испавление уязвимостей всем покласть.

anonymous
()
Ответ на: комментарий от anonymous

А ответ в том, что все эти cve это лишь возможность для репортящего ей пропиарить себя как Ъспециалиста по безопасности.

Не, смысл CVE в том, что ты можешь посмотреть какие уязвимости (и насколько серьезны) исправлены в upstream, и далее решить, нужно ли тебе обновляться либо бэкпортить.

Для специалиста по безопасности CVE это хорошо, но публикация различных исследований считается более Ъ.

Deleted
()
Ответ на: комментарий от Deleted

С базы CVE информация о уязвимостях автоматически расходится по разным базам безопасности конкретных дистров с которых пользователь может выполнив 1 команду проверить свою установку на наличия уязвимостей и даже закрыть их обновлением безопасности, например в Gentoo есть glsal-check.

Скрывать уязвимость 90 дней, чтобы разрабы могли спокойно разобраться и профиксить это норма.

anonymous
()
Ответ на: комментарий от Harald

Нужно использовать стабильную ветвь Hardened Gentoo.

Использовать технологии безопасности которые закрывают сразу целые классы уязвимостей, включая 0-day.

Сегодня обновляясь можно подцепить гораздо больше троянов. Так что обновляется просто так скорее пойдёт во вред.

anonymous
()
Ответ на: комментарий от anonymous

ответ в том что это фаззинг, т.е. какие-то рандомные данные, которые возможно никогда в реальности никто и не будет в программу пихать
да и последствия от этого — одно дело если как-то можно использовать для выполнения вредного кода, а другое дело что программа просто падает и крешится
Тем более это полу/автоматический процесс. А потом разгребать это вручную.

Bad_ptr ★★★★★
()
Ответ на: комментарий от Bad_ptr

Краш на рандомных данных - это потенциально выполнение кода. Разгребать надобно.

ratvier ★★
()
Ответ на: комментарий от Bad_ptr

Уязвимости в том и состоят, что какер пихает какие-то данные, про которые считалось, что их никто никогда не пихнёт. Но они не рандомные, а содержат например зловредный код.

anonymous
()
Ответ на: комментарий от Harald

108 критических дырок в либреофисе!

Пздц. Пошел покупать и скачивать винду и офис365, там хотя бы инфа о _дырах_ не в публичном доступе. Жесть иваная.

anonymous
()
Ответ на: комментарий от anonymous

Да, так твои бекдоры хороши спрятаны от общественных глаз.

Однако илита может легко зайти к тебе сзади (бекдор же) и ты ничего не почуствуешь, даже спасибо скажешь и денег еще им дашь.

anonymous
()
Ответ на: комментарий от anonymous

Оно живёт и процветает, версию ядра новой астра линукс смотрел?

Напиши им письмо с требованием GPL-2 свободно распространять изменения. Должны дать, проси подписанный gpg патч.

anonymous
()
Ответ на: комментарий от Harald

don't have the manpower to scale up at the same speed as people find bugs

Не пора ли перенаправить человекосилы с поиска багов на переписывание софта?

DonkeyHot ★★★★★
()
Ответ на: комментарий от Bad_ptr

что значит «никто не будет». будет. вот дядька злой посмотрит что пихали, и сделает свой документ для либры или картинку запилит.

example_cat
()
Ответ на: комментарий от example_cat

ты лучше подумай что твой дверной замок могут взломать и ночью прийти и задушить тебя подушкой
вот где дыра так дыра

Bad_ptr ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.