LINUX.ORG.RU

Найдено около 1200 уязвимостей в debian.

 , mayhem,


1

2

Наткнулся на интересное почтовое сообщение от Alexandre Rebert в рассылке Debian'а. Думаю исследование Alexandre Rebert'a даёт представление об действительном положении вещей с безопасностью программного обеспечения.

Оригинал сообщения находится по ссылке. Здесь я приведу свой, не полный, перевод:

Привет,

я занимаюсь поиском уязвимостей в программном обеспечении в Carnegie Mellon University. Моя рабочая группа нашла тысячи необработанных исключений в бинарных пакетах из репозиториев debian wheezy. Don Armstrong (owner@bugs.debian.org) посоветовал нам связаться с вами, прежде чем заполнить около 1200 отчётов об ошибках.

Ошибки были найдены с помощью Mayhem, - автоматической системой поиска ошибок, разрабатываемой в течении нескольких лет в исследовательской лаборатории David Brumley. Mayhem'ом были проверены почти все бинарные файлы (~23000) из репозитория Debian Wheezy.

Наша цель заполнить отчёты об ошибках как можно полнее. Чтобы уменьшить кол-во дубликатов, мы сообщаем только об одном необработанном исключении в каждом бинарном файле, и максимум о пяти в одном пакете. Таким образом отчёт содержит около 1200 уязвимостей.

>>> Оригинал

★★★

Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 3)
Ответ на: комментарий от special-k

Наверняка все баги в оставшихся 25%.. просто мантейнеры проверили, сказали годно и взяли)

Наверняка

Нутыпонел. Пока ты не приведёшь достоверную выборку полезных патчей, которые вносят убунтушники, тебе не избавиться от репутации фанатика, незнакомого с теорвером.

eugeno ★★★★★
()
Ответ на: комментарий от AX

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее.

Угу, школьники клепают пкгбилды и сырцы часто берут прямо из основного дерева, а значит количество ошибок и сегфолтов стабильно выше.

fenris ★★★★★
()
Ответ на: комментарий от eugeno

Ну большинство это не смущает, мне-то уж подавно не стоит переживать)

special-k ★★★★
()

«Разрушители легенд», чо! :)

Побольше бы таких исследователей, а то закормили пингвофилов байками столетней давности, а те ещё лет 50 повторять будут, пока их носом не тыкнут!
Софт - очень сложная отрасль, чтобы «на веру» воспринимать любые высказывания.

matumba ★★★★★
()
Ответ на: комментарий от rezedent12

Всегда стоит. Админ может изменить права на каталог, а привилегированный пользователь этим воспользоваться. Трай-эксцептов много не бывает. А есть ещё бэдблоки и прочие непредвиденные катаклизмы. Плох тот программист, который при написании программы не учитывает вероятность потопа (с).

anonymoos ★★★★★
()
Последнее исправление: anonymoos (всего исправлений: 1)
Ответ на: комментарий от AX

В арче софт обновляется оперативней

Согласен, но есть море дырок, которые кочуют из версии в версию годами. Никто же не полезет проверять ls! Это скучно не только как действие проверки, но и сама утилита - унылость. Так что автоматические тестеры сорсов - обязательная процедура для любого дистра. Не обязательно всё фиксить сразу, но обязательно занести их все в единый реестр, чтобы те, кому скучно, могли потихоньку вычищать код.

matumba ★★★★★
()
Ответ на: комментарий от farzeet

(хотя может быть полезно для убивания серваков конкурентов)

это если уязвимости не локальные.

snaf ★★★★★
()

Тоже мне новость. icculus рассказывал как вместе с другими разработчиками гордился кодом SDL. А потом прогнали clang'ом статистический анализ - полсотни необнаруженных багов. Идеальный код никто не пишет.

poe
()

К Дебиан это имеет отношение ровно столько же, сколько и к прочим дистрибутивам.

Gonzo ★★★★★
()
Ответ на: комментарий от AX

Новость вообще не содержит никакого сравнения

Но своя-то голова у нас есть!

Моя голова говорит мне, что сравнивать можно две фактические цифры, а не фактическую цифру со своими домыслами, нэ?

F457 ★★★★
()
Ответ на: комментарий от farzeet

Увы, речь действительно об уязвимостях (исполнении произвольного кода с привелегиями запущенного процесса). Естественно, они имеют смысл только для suid-ных бинарников.

anonymous
()
Ответ на: комментарий от matumba

Софт - очень сложная отрасль, чтобы «на веру» воспринимать любые высказывания

Поэтому ты принял на веру пересказ того, что сказали какие-то исследователи.

Binary ★★★★★
()

Надо Дебаен закрыть еще на год-полтора, не все еще патчи написаны!

Citramonum ★★★
()
Ответ на: комментарий от fenris

От того, крашится она или нет, качество OS-софта не улучшается.

cipher ★★★★★
()

Молодец, а теперь пусть предоставит 1200 рабочих эксплойтов, вот тогда и поговорим.

Jaga ★★★
()

Требуем поиск уязвимостей в других дистрах! А то сейчас дебиан хаем, а потом окажется, что в нем меньше их всего.

anonymous
()

Очередное доказательство того, что протухшее != стабильное.

prot ★★
()

Вообще-то, в статье написано о крешах и багах. Далеко не каждая бага уязвимость.

observer ★★★
()
Ответ на: комментарий от ZenitharChampion

Прикол. Мне б хотя бы 5 из них. Самых опасных.

Уязвимости + майнинг биткоинов... Хм =)

observer ★★★
()

Crash

В оригинале используется слово «crash» — т.е. вылет, падение, а не «exception» (исключение).

guitarist ★★
()

Найдено около 1200 уязвимостей в debian.

А британский учёный снова изнасиловал журналиста.

Alve ★★★★★
()

Ошибки были найдены с помощью Mayhem, - автоматической системой поиска ошибок

если ты не знал, то эта система находит только _потенциальные_ ошибки. Например что-то типа

x = array[-1];

потенциально тут выход за границу массива, и соответственно UB со всеми вытекающими. Проблема в том, что array вовсе НЕ обязан являться указателем на массив. Он может быть _любым_ указателем, в т.ч. указателем на второй элемент массива. Если это так, то код становиться вполне корректным. Надо ручками проверять, подымать сырцы, смотреть, думать, прогонять тесты… Очевидно, раз аффтор говорит про 1500, то это НЕ было сделано. НИ ОДНОЙ уязвимости автор НЕ нашёл.

drBatty ★★
()

Желтизна в заголовке.

Debasher ★★★★★
()
Ответ на: комментарий от firestarter

Всё-таки crash - это ошибка, приводящая к падению, а не уязвимость.

Нет, это тоже уязвимость.

не обязательно. И даже если это и уязвимость, то она вовсе не обязательно позволяет выполнять вредоносный код.

drBatty ★★
()

Ну что же, печально, но вполне логично. В opensource часто пишут безграмотные студенты, а ведь даже отличные программисты могут ошибаться.

И крайне печально, что количество клоунов на лоре зашкаливает - читать комментарии противно.

sh4r4t4n
()
Ответ на: комментарий от rezedent12

Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

что неправильно, ибо есть и другие ошибки, кроме ENOENT.

drBatty ★★
()
Ответ на: комментарий от ZenitharChampion

Мне б хотя бы 5 из них. Самых опасных.

кто мешает проверить? Есть и другой вариант: юзай Gentoo, и читай warning'и, которые сыплются. Каждый из них — потенциальная дыра.

drBatty ★★
()
Ответ на: комментарий от special-k

Вот потому-то лучше сидеть на ubuntu, не то что ваш глючный дебиан

Товарищ, вам стыдно должно быть. Так сложилось, что ruby - сообщество состоит из квалифицированных айтишников, в отличие от сообществ php, java, etc, а вы вот такую чушь несёте.

Debasher ★★★★★
()
Ответ на: комментарий от drBatty

И даже если это и уязвимость, то она вовсе не обязательно позволяет выполнять вредоносный код.

Если приложение можно уронить, то это тоже уязвимость.

cipher ★★★★★
()
Ответ на: комментарий от MrClon

Любимое развлечение писателей автоматических проверялок кода — проверять своими поделиями опенсорсный код и пугать всех страшными цифрами.

+1

а вот интересно, в первом посте речь о бинарниках, так что мешает проверить Windows?

drBatty ★★
()
Ответ на: комментарий от Galaxy

Эта автоматическая система поиска ошибок к каждой найденной ошибке генерит эксплойт.

anonymous
()

уважаемый автор перевода hope13, если вы не можете отличить crash(падение) и bug(ошибка) от security issue(уязвимости) - не переводите ничего. и, тем более, не публикуйте.

скажу больше, что crash в случае возможности повреждения пользовательских данных или возникновения потенциальной уязвимости(и невозможности это обработать) - это именно правильное средство завершения программы с наименьшими потерями для конечного пользователя. в т.ч. и в области безопасности.

azazello ★★★★
()
Ответ на: комментарий от AX

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее.

новые дырки и баги появляются ещё быстрее.

drBatty ★★
()
Ответ на: комментарий от cipher

Если приложение можно уронить, то это тоже уязвимость.

интересно, если ты сможешь ронять мой google-chrome, как только я зайду на твой быдлосайт с твоим быдлокодом, то чем тебе это поможет в твоей никчёмной жизни?

drBatty ★★
()
Ответ на: комментарий от cipher

Если приложение можно уронить, то это тоже уязвимость

Уронить действиями пользователя, либо удалённо? Это принципиально разные вещи.

UNiTE ★★★★★
()
Последнее исправление: UNiTE (всего исправлений: 1)

1 ошибка на 20 пакетов - не так уж и много. Тем более, что не все эти 20000 пакетов будут установлены.

Deleted
()

~1.2K crashes


Найдено около 1200 уязвимостей

Не понимаю, почему эту желтизну подтвердили.

Ustin
()

Разве это не проблемы ванильных программ? Причем тут дебиан.

ptah_alexs ★★★★★
()
Ответ на: комментарий от plm

что мифическому «простому юзеру» постоянно нужно что-то ставить из master/trunk, для чего ему жизненно необходим новый форма пакетов без зависимостей.

вот наркоманы..

qnikst ★★★★★
()
Ответ на: комментарий от sh4r4t4n

Ну что же, печально

И крайне печально

количество клоунов на лоре

ага. Печально.

А если прекратить клоунаду, и включить голову? Ты хоть одну уязвимость видел? Вот когда увидишь, выкладывай имя пакета, имя файла, и номер строки. Будем печалиться. А пока — ведёшь себя как клоун.

drBatty ★★
()
Ответ на: комментарий от drBatty

Я сделаю твою никчемную жизнь чуточку хуже?
Вообще под определение уязвимости нарушение целостности работы. И поэтому, если твой быдлосервер на быдлослакваре упал из-за какой-нибудь быдлопрограммы, то он считается уязвимым.

cipher ★★★★★
()
Последнее исправление: cipher (всего исправлений: 1)
Ответ на: комментарий от drBatty

не обязательно. И даже если это и уязвимость, то она вовсе не обязательно позволяет выполнять вредоносный код.

Возможность несанкционированно выполнять произвольный код это частный случай уязвимости. Простой пример. Допустим я обнаружил способ удаленно положись сайт linux.org.ru, отправив специально сформированный get запрос. Это было бы уязвимостью сайта. Мало того, это дыра. И неважно что я не могу таким образом выполнить произвольный код, возможность уронить так сервер само по себе плохо.

Аналогично с ядром или просто программой в user space. Если оно может упасть под воздействием внешних раздражителей, это тоже не что иное как дыра. А если ПО под управлением Линукс выполняет какую-то очень серьезную работу? Управляет ядерным реактором, например (Гг)? Это вам, хомячкам то пофиг, а в некоторых случаях падение в неподходящий момент может иметь серьезные последствия.

firestarter ★★★☆
()
Ответ на: комментарий от UNiTE

Уронить действиями пользователя, либо удалённо?

Какая разница? Ну уроню я весь твой сервак с openvz через свою vpsку на нем. Тебе легче станет?

cipher ★★★★★
()
Ответ на: комментарий от cipher

Я сделаю твою никчемную жизнь чуточку хуже?

ну разве что только. Но это НЕ уязвимость, а просто глюк хрома. Можно взять другой браузер и/или пойти на другой сайт.

Вообще под определение уязвимости нарушение целостности работы. И поэтому, если твой быдлосервер на быдлослакваре упал из-за какой-нибудь быдлопрограммы, то он считает уязвимым.

интересно, каким образом падающий хромой, связан с моим сервером? Даже если допустить, что я запускаю хромого на том же самом локалхосте, что и сервер.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.