LINUX.ORG.RU

Дискуссия о потенциальных проблемах безопасности в Debian

 , ,


3

3

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

anonymous

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)

Ответ на: комментарий от anonymous

никто в никаких диффах исправления безопасности не ищет. Безопасностью занимаются не мейнтейнеры, а специальные команды.

Команды из людей вы имели ввиду? Или может команды машинного кода? А то я не понял если никто не смотрит в диффы то как исходники правятся? На фонарь?

Найдите для интереса пруф где какой нить пакет (только не ядро или другие пакеты без которых дебьян не заведётся), хоть тот же блендер, в который мейнтейнеры дебьяна пофиксили какую-то дыру. Посмотрим вместе на патч, если найдёте такой конечно. Лично моё мнение что дыры дебьяновцами латаются только в ядре, а всякие там сабжевые xscreensaver'ы либо валяются в репе дырявые либо просто дропаются. Справедливости ради надо сказать что это влияет на безопасность системы, а не на её стабильность.

smolnij
()
Ответ на: комментарий от MyTrooName

а зачем, по вашему, на компьютеры ставят всё более мощное охлаждение?

buratino ★★★★★
()
Ответ на: комментарий от MyTrooName

меня вполне устраивает Debian 7 old-stable, который хрипящий Wheezy как на серверах, так и на десктопе, а уж если приспичит, то заготовлены каталоги jessie и xenial для новья, ну там chroot или LXC, в ближайшие 1-2 года переход на Debian v8 НЕ планирую однако на основной железке, потому как даже stable пока еще глюковаст

понятно, семерка с бэкпортами и другими заплатными репами ядро 3.16 bpo, а на кой что-то новее?

работает как часы, никаких сюрпризов, в т.ч. неприятных

венда та и вовсе XPюшка

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 4)
Ответ на: комментарий от sanyock

на кой что-то новее

Да тут скорее почему бы и нет? Можно конечно через релиз прыгать, чтоб реже обновляться, но ждать выхода 9ки, чтоб пересесть на 8ку как-то странно.

zloelamo ★★★★
()
Ответ на: комментарий от zloelamo

Да тут скорее почему бы и нет? Можно конечно через релиз прыгать, чтоб реже обновляться, но ждать выхода 9ки, чтоб пересесть на 8ку как-то странно.

да мне без разницы как эти версии обзовут или пронумеруют, лишь бы они мое время не тратили поисками решения глюкобажных вопросов

sanyock ★★
()
Ответ на: комментарий от smolnij

Найдите для интереса пруф где какой нить пакет (только не ядро или другие пакеты без которых дебьян не заведётся), хоть тот же блендер, в который мейнтейнеры дебьяна пофиксили какую-то дыру.

https://www.debian.org/security/2008/dsa-1567

Лично моё мнение что дыры дебьяновцами латаются только в ядре, а всякие там сабжевые xscreensaver'ы либо валяются в репе дырявые либо просто дропаются.

Пользователям Арча и прочим хомячкам такие идиотские мнения простительны, так как абсолютно ни на что не влияют.

anonymous
()
Ответ на: комментарий от Wind

Мда... при Мердоке такого не было, жаль, дистрибутив начинает скатываться...

Как раз при нем такое и было - в репозитории версия приложения от 2014 года.

andreyu ★★★★★
()
Ответ на: комментарий от buratino

ЕМНИП, там обычно есть исходники,

не всегда. вот напрмер

https://packages.debian.org/wheezy/teamspeak-client

Так на той же странице и ссылка на исходный код:

teamspeak-client_2.0.32.orig.tar.gz 	7,743.4 kB 	328c9a473bc7fb2a9f021933039dff92
gag ★★★★★
()
Последнее исправление: gag (всего исправлений: 1)
Ответ на: комментарий от gag

так ты загляни в этот *исходный код*. :) я просто не нашёл, как содержимое через веб расшарить

ещё можешь в пакет rar заглянуть, и там тоже исходный код поискать :)

buratino ★★★★★
()
Ответ на: комментарий от smolnij

Найдите для интереса пруф где какой нить пакет (только не ядро или другие пакеты без которых дебьян не заведётся), хоть тот же блендер, в который мейнтейнеры дебьяна пофиксили какую-то дыру.

Блендер, говоришь? - https://www.debian.org/security/2015/dsa-3218

Polugnom ★★★★★
()
Ответ на: комментарий от gag

это не исходник, это бинарник. зависимость к библиотеке ia32 показывает, что это прибитый к i386 бинарник

если ничего не путаю, там даже где-то .exe было в исходниках, и прибито к wine.

buratino ★★★★★
()
Ответ на: комментарий от Polugnom

Отвечу вам, а то у анонимуса протеиновая диета. Я сразу его неадекватность заподозрил когда он утверждал что правки вносятся не глядя в сырцы.

Как я уже говорил такой подход подвержен ошибкам на каждом из этапов.

Далее цитирую:

Нужно курить диффы чужого кода, разбираться что в этом диффе исправление безопасности а что другая фича (и разбираться не всегда правильно) править патчи самостоятельно (и вносить новые ошибки), т.к. это исправление уже опирается на другой более новый код, а в дебьяне пакет до сих пор прошлогодний.

Такой подход будет работать только для небольшого набора качественных пакетов с красивым исходным кодом, (к коим относится ядро, окружение, веснот и блендер) тогда мейнтейнеры будут примерно знакомы с пакетами и лажать реже. А в дебьяне пакетов тыщщи.

smolnij
()
Ответ на: комментарий от smolnij

ага. поэтому на серверном рынке Debian выбирают всех 13% пользователей, а основанную на нём Ubuntu - 23% пользователей.

http://www.w3cook.com/os/summary/

наверное, они там только в веснот играют и в блендере рисуют

не, это надо же такое ляпнуть про ОС, которой ДОВЕРЯЮТ многие, в том числе крупные, компании

buratino ★★★★★
()
Ответ на: комментарий от greenman

Хороший коммент с опеннета

Да на опеннете вообще чудики. Они там додумались написать, что непринятие новых фич (в которых потенциально есть новые баги) уравновешивает незакрытие старых багов. А оно нифига не уравновешивает. Вот баг в новой фиче, который закрыли через два месяца, и баг в старой дебиановской версии, который висит там уже два года. Допустим, что оба бага могли быть использованы злоумышленником (так что это уже даже не баги, а дыры в безопасности, но пока никто не заметил, что это дыры). Какая из них опаснее? Какая даёт злоумышленнику больше возможностей изучить код, подготовить эксплоит? Так что оно нифига не уравновешивает в общем случае. Нужно смотреть на то, через какое количество времени конкретный баг был закрыт.

anonymous
()
Ответ на: комментарий от buratino

поэтому на серверном рынке Debian выбирают всех 13% пользователей, а основанную на нём Ubuntu - 23% пользователей.

Самое смешное, что Дебиан как раз самый хипстерский с заморозкой всего на 2 года. У Убунты это 5 лет. У Red Hat и CentOS - 10 лет. Говноарчик там даже рядом не валялся, нигде в индустрии про него даже не слышали.

Этот харковский иксперд совсем уже заврался и откровенно сливает.

anonymous
()

Что делает программа для блокировки рабочего стола в репах серверного дистрибутива конструктора для серверных дистрибутивов?

anonymous
()
Ответ на: комментарий от anonymous

Самое смешное, что Дебиан как раз самый хипстерский с заморозкой всего на 2 года. У Убунты это 5 лет.

ну, LTS у дебиана и у убунты выходят раз в два года.

поддержка у дебиана 3 года полная + 2 года LTS. у убунты же 5 лет, но только для секции main, секция unniverse поддерживается... не помню, сколько, вроде бы тоже 3 года, и с Debian у них равенство. но могу и напутать, там разница в деталях и нюансах.

buratino ★★★★★
()
Ответ на: комментарий от greenman

Проблема в том, что автора хрен убедишь, что кроме багфикса НИКАКИХ изменений быть не должно. И багфикс видимых снаружи изменений вносить не должен, если это вообще возможно.

Сначала мы просто пользуемся софтиной, потом начинаем создавать разработчику неудобства, а потом ещё и заявляем «а ты взвали на себя работу по фиксу ошибок не только в актуальной, а ещё и в прошлых версиях, тогда мы перестанем тебе мешать». А то, что в новой версии код уже не совпадает со старой и человеку надо тратить своё время, чтобы разбираться, как эту ошибку запатчить в старых версиях, на это нам плевать.

Вот про это я и говорил - потребитель нагл. Таких потребителей надо слать лесом, что автор скринсейвера и сделал с Дебианом.

anonymous
()
Ответ на: комментарий от anonymous

а потом ещё и заявляем «а ты взвали на себя работу по фиксу ошибок не только в актуальной, а ещё и в прошлых версиях, тогда мы перестанем тебе мешать».

Как раз наоборот, фиксы ошибок в прошлых версиях нафиг не нужны.

Таких потребителей надо слать лесом, что автор скринсейвера и сделал с Дебианом.

От этого Дебиану ни холодно, ни жарко. Чувак начал ныть, не удосужившись разобраться в проблеме. Как и лоровские хомячки.

anonymous
()
Ответ на: комментарий от buratino

Может и так. А может это просто куча стартапных хипстеров на Амазоне накликала. Кто ж наверняка знает-то? К тому же, там статистика только по веб-серверам, а серверный рынок — это не только веб-серверы. Так что твои выводы, мягко говоря, так себе.

anonymous
()
Ответ на: комментарий от curufinwe

/opt не нужен. Нужно допиливать xdg-app, и тащить всю проприетарщину туда.

nexfwall ★★★★
()

Как мне видеться тут проблема чисто техническая. Дебра мыслит разработкой софта критериями 80х-90х, когда ты выпускаешь версию программы, потом начинаешь собирать багрепорты, фиче реквесты, деволопишь, накапливаешь это все и выпускаешь новую версию софта. Проблема в том что с 90х мы немного поменялись и сейчас очень большая часть софта пишется в конвейерном темпе внося багфиксы и новые фичи нон стоп (ффмпег, например). А некоторый софт так и вовсе версионо-релизности не имеет, существуя в виде гит ветки. Тут вопрос даже не конкретно Дербы а вопрос того как доставлять софт конечному пользователю. Как мне кажется тут ущербна сама концепция репозиториев, как доставки софта, минусов в ней больше чем плюсов. Одной libc достаточно пересобрать и вся репа превратиться в говно. Хотя разным программам может понадобиться разная версия.

Как мне кажется нужна новая идеологическая и техническая модель. Которая будет более гибкой к изменениям. Рискую быть забит зассаными тряпками, но как вариант, модель что-то вроде стора. Когда у нас есть собственно core, base system если хотите, сама система os, из «столбов» и «титанов». И собственно сам стор, где разработчик сможет собрать свой пакет нужной ему версии опираясь либо на системные зависимости дистрибутива либо на свои, статически или динамически, какие ему нужны. Имея несколько разных версий одной и той же программы от разных людей, с относительной легкостью добавления их в стор, с системой лайков\жалоб для убивания не добросовестных пакетов ну и т.д.

В любом случае то что существует сейчас это просто система накапливания костылей и грязных хаков к устаревшим версиям программ.

anonymous
()
Ответ на: комментарий от anonymous

Как мне кажется нужна новая идеологическая и техническая модель

Дебиан это такой совок. До последнего будут делать умный вид, что всё идёт по плану.

Deleted
()
Ответ на: комментарий от Deleted

Дебиан это такой совок. До последнего будут делать умный вид, что всё идёт по плану.

Дебиан это как раз очень современный и либеральный дистрибутив. Тот же RHEL или CentOS намного более консервативные. А всякие Слаки, Генты и Арчи - это вообще колхоз с парой алкашей.

anonymous
()
Ответ на: комментарий от anonymous

Debian излишне бюрократизирован. Но, собственно, это и гарантия сохранения его качества. :) Броситься добавлять новые фичи легко - также, как легко растерять тех, кто ценит Debian за предельную предсказуемость и высокое качество :)

И я бы не ставил в один ряд Слаку, Генту и Арч. :) Слака - консерваторы, Генту - кружок авиамоделистов-затейников, а Арч - это... это секта, которая пытается создать идеальное общество в отдельно взятом дистрибутиве, и уничтожить всех тех, кто в это идеальное общество не вписывается :)

buratino ★★★★★
()
Ответ на: комментарий от voltmod

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

Если все устраивает то за каким вы такое устраиваете и пишите ему всякую чушь в багтрекер.

anonymous
()

То, что ПО устаревает быстро и становится негодным и небезопасным, ни мантейнеры ни дистрописатели к этому мало причастны. Да и глупо кого-то заставлять из под палки. Вы наверно не раз радовались в «кавычках» очередному устареванию или новшеству, прекрасно работавшего софта или железки...

Причина кроется, в первую очередь в непродуманности архитектуры и отсутствии приоритетов чтобы это все работало годами и могло без проблем и кучи зависимостей обновляться не ломая работающую систему...

Ничего плохого нет в ультра консервативной политике дистра (даже много хорошего), если это не создает проблем с безопасностью или можно без проблем поставить патчи безопасности... Но именно тут необходимы в идеале продуманные возможности архитектуры софта и возможности для бекпортирования.

anonymous
()
Ответ на: комментарий от buratino

Арч - это... это секта, которая пытается создать идеальное общество в отдельно взятом дистрибутиве, и уничтожить всех тех, кто в это идеальное общество не вписывается :)

А кто-нибудь может объяснить, зачем он вообще кому-то сдался, помимо пространных лозунгов про KISS, минимализм и элехантность. Чем он отличается от Debian sid, кроме отсутствия кучи пакетов и архитектур?

anonymous
()
Ответ на: комментарий от Deleted

Дебиан это такой совок.

Смотрю и специалист по Debian подтянулся.Ваше мнение очень важно для нас. Пожалуйста, оставайтесь на линии...

Odalist ★★★★★
()
Ответ на: комментарий от surefire

А в чём суть модели развития арча? Роллинг-ветки есть не только в арче, если что. И у арча нет ветки для продакшона, это чисто васянский десктопный дистрибутив.

anonymous
()
Ответ на: комментарий от Odalist

Ну, не знаю, можно ли назвать специалистом человека, который несколько раз в разные года тыкал длинной палкой в эту яму с говном)

Кстати, мантейнеры уже научились там собирать KDE чтобы оно не глючило и не тормозило так, как не глючит и не тормозит больше нигде?

Deleted
()
Ответ на: комментарий от anonymous

А в чём суть модели развития арча? Роллинг-ветки есть не только в арче, если что. И у арча нет ветки для продакшона, это чисто васянский десктопный дистрибутив.

Вот мне тоже интересно. Сплошные лозунги и знамя, но никаких технических особенностей я что-то не заметил. На деле очередной колхоз.

anonymous
()
Ответ на: комментарий от Deleted

в эту яму с говном)

Конечно, как я понимаю, пруфа не будет? Тогда 4.2

Ну, не знаю, можно ли назвать специалистом человека, который несколько раз в разные года

Тогда зачем пишешь такое?

Кстати, мантейнеры уже научились там собирать KDE чтобы оно не глючило и не тормозило так, как не глючит и не тормозит больше нигде?

Люди пользуются и не жалуются. Ну а баги в каждом дистрибутиве имеются.

Odalist ★★★★★
()
Ответ на: комментарий от Odalist

Люди пользуются и не жалуются

Кому и овца невеста.

Deleted
()

Скорей всего товарищ Лайнус сидит на «Федоре» или «РедХате Энтерпрайз». Он ведь акционер РедХата. Всё логично.

anonymous
()
Ответ на: комментарий от anonymous

Новостей было много, противоречивых, и если я буду пересказывать все слухи - зинк или повесится, или объявит мне кровную месть.

buratino ★★★★★
()
Ответ на: комментарий от buratino

Короче, весь спор под нож пошел ))) Черт с ней, с виндой, хотя я мало в 1% ее верю.

Debian stable хорош, и я его использую. На сервере арч не представляю. Но на десктопе пока мой выбор - арч. Есть проблемы и там и там, различного характера. Ты прав в том, что надо понимать, где что лучше применять.

По-моему, ты слишком негативно относишься к арчу, сейчас в нем достаточно гладко.

curufinwe ★★★★★
()

Как вы, <censored>, достали с вашим арчем, <censored>.

tailgunner ★★★★★
()
Ответ на: комментарий от curufinwe

Я нормально отношусь к арчу. Я сказал, что на нём были одни проблемы, а на дебиане - другие. В ответ услышал 5 комментариев о том, что я дебил, и что у арча проблем не бывает.

Когда тема заходит про дебиан - я говорю и про недостатки дебиана. Эт нормально. Все грешны. Кроме OpenBSD, конечно, она идеальна, а Тео всегда прав :)))) [на всякий случай и текстом уточню, что это шутка]

buratino ★★★★★
()
Ответ на: комментарий от buratino

Вообще, в данном случае, я считаю что мейнтейнеры дебиана не виноваты, а виноват разработчик этой софтины. Багтрекера нет, багрепорты на почту принимает, стабильную версию программы с фиксом багов не выпускает. Кто ж ему виноват? А политика дебиана такая имеет смысл.

Я например держу на работе именно стейбл, потому что не хочу иметь проблем с внезапными изменениями после обновления. И при этом обновления безопасности есть. Хотя это не сервер, можно например арч не обновлять и он тоже будет работать, на безопасность забить. А через год переустановить.

curufinwe ★★★★★
()
Ответ на: комментарий от curufinwe

Вообще, в данном случае, я считаю что мейнтейнеры дебиана не виноваты, а виноват разработчик этой софтины. Багтрекера нет, багрепорты на почту принимает, стабильную версию программы с фиксом багов не выпускает. Кто ж ему виноват? А политика дебиана такая имеет смысл.

Они таймбомбу проглядели. Это хороший повод вводить практики более внимательного аудита, в том числе автоматизированного, на предмет невнятной активности (и зашифрованного кода). И обязать маинтайнеров чаще проверяться.

А если бы эта таймбомба не раздражающее окно выводила, а что-нибудь более опасное тырила?

ps. Мне звезду погасили. :) Теперь я больше не окябрёнок :) Слава капитализму, долой СССР :)

buratino ★★★★★
()
Ответ на: комментарий от curufinwe

А вообще, раньше на десктопе я использовал sid+experimental. Попутно с арчем, обычно. Потом тестинг. А сейчас и на десктопе я использую только стейбл с бэкпортами. Я уже слишком стар для нестабильности, для разучивания новых фич. Поставил, работает и забыл. Пишу вот из Iceweasel 38, и страхом боюсь, что будет, когда оно обновится до Firefox 45. Раньше дебиан был более консервативным, и в stable Firefox если и обновлялся, то через бэкпорты. А теперь - обязательным порядком.

buratino ★★★★★
()

хех, и тут всплыло. на забугорных форумах в основном мусолят тему свободки, на лоре обсуждают, по доброй традиции, какое говно дебиан арч. на тему свободки разработчика в мейл-листе (https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=819703) макнули уже, кстати, но он не сдаётся:

I guess you want Debian to be the kind of operation that uses the work of others while blatantly and explicitly ignoring the wishes of the person who *did the actual creative work*

самое замечательное, что на тему дебиана, пожалуй, больше всего шумихи из-за рядовых происшествий класса «корона яйца прищемила».

tcler
()

Ранее разработчик даже добавил в XScreenSaver проверку обновлений

Скринсейвер ходит в интернет? Латентные вендузяторы совсем распоясались.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.