LINUX.ORG.RU

Найдено около 1200 уязвимостей в debian.

 , mayhem,


1

2

Наткнулся на интересное почтовое сообщение от Alexandre Rebert в рассылке Debian'а. Думаю исследование Alexandre Rebert'a даёт представление об действительном положении вещей с безопасностью программного обеспечения.

Оригинал сообщения находится по ссылке. Здесь я приведу свой, не полный, перевод:

Привет,

я занимаюсь поиском уязвимостей в программном обеспечении в Carnegie Mellon University. Моя рабочая группа нашла тысячи необработанных исключений в бинарных пакетах из репозиториев debian wheezy. Don Armstrong (owner@bugs.debian.org) посоветовал нам связаться с вами, прежде чем заполнить около 1200 отчётов об ошибках.

Ошибки были найдены с помощью Mayhem, - автоматической системой поиска ошибок, разрабатываемой в течении нескольких лет в исследовательской лаборатории David Brumley. Mayhem'ом были проверены почти все бинарные файлы (~23000) из репозитория Debian Wheezy.

Наша цель заполнить отчёты об ошибках как можно полнее. Чтобы уменьшить кол-во дубликатов, мы сообщаем только об одном необработанном исключении в каждом бинарном файле, и максимум о пяти в одном пакете. Таким образом отчёт содержит около 1200 уязвимостей.

>>> Оригинал

★★★

Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 3)
Ответ на: комментарий от drBatty

Патрик сам уже все доказал..
Слака
CFLAGS="-O2 -march=i486 -mtune=i686"
Арч
CFLAGS="-march=i686 -mtune=generic -O2 -pipe -fstack-protector --param=ssp-buffer-size=4 -D_FORTIFY_SOURCE=2 -fPIC"
:)

foeduscodicem
()
Ответ на: комментарий от init_6

Не я начал не мне и опровергать.

т.е. ты желаешь, что-бы я тебе доказал наличие серверов под Debian sable?

На kernel.org одна стабильная текущей ветки еще несколько стабильных прошлых веток

заметь, что «стабильные прошлые ветки» активно развиваются. Как ты думаешь, почему так?

И разговор был о стабильной текущей ветки.

вообще-то их сейчас 8 штук. Или по твоему, 2.6.32.61 «не стабильная»?

drBatty ★★
()
Ответ на: комментарий от sjinks

segfault — правильное средство завершения программы? Серьёзно?

в сравнении с испорченными пользовательскими данными - 100%.

azazello ★★★★
()
Ответ на: комментарий от anonymoos

Плох тот программист, который при написании программы не учитывает вероятность потопа (с).

Тогда 80% всего кода будет обработчиками ошибок как в мультикс.

rezedent12 ☆☆☆
()
Ответ на: комментарий от foeduscodicem

Патрик сам уже все доказал

дык во первых ему каждый день не нужно собирать, во вторых ему не нужно собирать всякое говно.

drBatty ★★
()
Ответ на: комментарий от drBatty

что неправильно, ибо есть и другие ошибки, кроме ENOENT.

Программа по любому должна завершиться если конфиг неправильный или оборудование не исправно.

rezedent12 ☆☆☆
()

Ошибки были найдены с помощью Mayhem

Пусть вначале свой Mayhem проверят. ЗЫ: Тюлька про Mayhem похожа на рекламную паузу.

trueshell ★★★★★
()
Ответ на: комментарий от drBatty

т.е. ты желаешь, что-бы я тебе доказал наличие серверов под Debian sable?

ты уже слил и несколько раз

заметь, что «стабильные прошлые ветки» активно развиваются. Как ты думаешь, почему так?

«активно развивается» mainline а остальные фиксят найденные баги.

вообще-то их сейчас 8 штук. Или по твоему, 2.6.32.61 «не стабильная»?

по моему 2.6.32.61 это longterm из ветки 2. а так как текущая ветка - 3 то и стабильное в ней 3.9.8.

И кроме того 2.6.32.61 потянет старый udev который в свою очередь потянет и весь старый юзерспейс… и старый в данном случае это на данный момент уже настолько древний что он будет на несколько порядков в версиях древнее текущих стабильных версий.

init_6 ★★★★★
()
Ответ на: комментарий от anonymous

лоровские дебианщики показали своё истинное лицо. вначале они смеются над всеми и утверждают, что их система стабильна и проверяется годами. когда же появляется сабж, они начинают кричать, что в других дистрибутивах ещё хуже или вообще, что стабильность, оказывается, никак не связана с ошибками в пакетах

в других дистрибутивах ещё хуже

Это правда, остальное нет.

UNiTE ★★★★★
()
Ответ на: комментарий от special-k

Вот потому-то лучше сидеть на ubuntu, не то что ваш глючный дебиан.

Ты с какой звезды к нам прилетел?

soko1 ★★★★★
()
Ответ на: комментарий от rezedent12

что неправильно, ибо есть и другие ошибки, кроме ENOENT.

Программа по любому должна завершиться если конфиг неправильный или оборудование не исправно.

а если нет права чтения? А если файл был удалён после проверки но до открытия?

drBatty ★★
()
Ответ на: комментарий от init_6

т.е. ты желаешь, что-бы я тебе доказал наличие серверов под Debian sable?

ты уже слил и несколько раз

ага. Нежеланием доказывать очевидное.

«активно развивается» mainline а остальные фиксят найденные баги.

этого разве мало? Ну вот есть у тебя сервер, всё работает. Ты туда будешь ВНЕЗАПНО ставить новое ядро, в котором есть скажем AppArmor, если в твоём текущем его нет?

И кроме того 2.6.32.61 потянет старый udev который в свою очередь потянет и весь старый юзерспейс… и старый в данном случае это на данный момент уже настолько древний что он будет на несколько порядков в версиях древнее текущих стабильных версий.

и что?

drBatty ★★
()
Ответ на: комментарий от AX

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее. Плюс там меньше шансов нарваться на дистроспецифичный баг из-за мейнтейнерских патчей,

софт обновляется оперативней, а значит дырки и баги появляются быстрее.

Плюс там больше шансов нарваться на НЕХ из-за мейнтейнерских патчей.

и не благодарите

darkenshvein ★★★★★
()
Ответ на: комментарий от drBatty

ага. Нежеланием доказывать очевидное.

А я не вижу ничего очевидного в твоих голословных утверждениях.

этого разве мало?

Да зачастую мало потому что некоторые дыры активнее закрывают в новых версиях.

и что?

…и то что весь старый юзерспейс это еще +100500 старых пакетов с дырами

init_6 ★★★★★
()
Ответ на: комментарий от anonymous

Слив засчитан. Жри свой блидинг эдж кактус и страдай, лол.

Я живу на текущих стабильных и не страдаю… А страдают вот как оказывается юзеры SlowwwwwBiana.

init_6 ★★★★★
()
Ответ на: комментарий от rezedent12

Думаю в коде Curiosity этот процент ещё выше. Ничего страшного. Главное, чтоб стабильно работало.

anonymoos ★★★★★
()
Ответ на: комментарий от drBatty

а если нет права чтения? А если файл был удалён после проверки но до открытия?

Безысходность. Зачем тогда вообще писать программы если они будут выполняться в таких условиях? Вспомнил про java2000.

rezedent12 ☆☆☆
()
Ответ на: комментарий от init_6

Да зачастую мало потому что некоторые дыры активнее закрывают в новых версиях.

это потому-что их там больше.

…и то что весь старый юзерспейс это еще +100500 старых пакетов с дырами

ну и что? Зачем тебе этот старый удав на сервере? А на десктопе уютного локалхоста стабильный деб не нужен, это да. Кто-то заставляет?

А я не вижу ничего очевидного в твоих голословных утверждениях.

ну если ты считаешь, что мало серверов на Debian, то мне нечего тебе сказать. По моим данным — половина где-то. А остальное RH разные. Сейчас вот убунта появляется, но это не та убунта, которая в твоём компе, а ближе к стабильному дебу. Тоже старая и без иксов.

drBatty ★★
()
Ответ на: комментарий от drBatty

это потому-что их там больше.

голословно а особенно учитывая то что по крайней мере старых и хорошо изученных дыр уж всяко меньше а новые еще нужно найти…

ну и что? Зачем тебе этот старый удав на сервере? А на десктопе уютного локалхоста стабильный деб не нужен, это да. Кто-то заставляет?

ну и все.

ну если ты считаешь, что мало серверов на Debian, то мне нечего тебе сказать. По моим данным — половина где-то. А остальное RH разные. Сейчас вот убунта появляется, но это не та убунта, которая в твоём компе, а ближе к стабильному дебу. Тоже старая и без иксов.

Тут ты чо то попутал… У меня убунты так же как и SlowwwwwwBiana не было, нет и не будет.

init_6 ★★★★★
()
Ответ на: комментарий от sjinks

segfault — средство завершение программы, но не со стороны программы, а со стороны операционной системы.

Я не спрашивал, что это такое и зачем нужно, это мне известно :)

exit() или уж abort() на крайний случай.

То есть ты предлагаешь переложить обработку всех тех ситуаций, которые вызывают ошибку сегментирования, на автора программы?

Gotf ★★★
()
Ответ на: комментарий от init_6

это потому-что их там больше.

голословно а особенно учитывая то что по крайней мере старых и хорошо изученных дыр уж всяко меньше а новые еще нужно найти…

твоё «активнее исправляют» не менее голословно.

Ну и дыры обычно специально не ищут, они сами вылезают в виде багов.

нет и не будет.

красношапко фанатег?

drBatty ★★
()
Ответ на: комментарий от Gotf

То есть ты предлагаешь переложить обработку всех тех ситуаций, которые вызывают ошибку сегментирования, на автора программы?

ну а что в этом плохого? Если программа ищет 100500й эл-т массива из 3х эл-тов, то кто, собственно виноват?

drBatty ★★
()

решето

anonymous
()
Ответ на: комментарий от soko1

Mayhem

Ты кончаешь, создавая идиотские теги?

Я думаю этот парень просто блэк-металлист

Или на акул мастурбирует.

olibjerd ★★★★★
()
Ответ на: комментарий от plm

Кроме «простых юзеров» людям ещё работать нужно. А собирать кусок lfs не хочется.

anonymous
()
Ответ на: комментарий от drBatty

Если программа ищет 100500й эл-т массива из 3х эл-тов, то кто, собственно виноват?

Кто виноват понятно, но это не повод полагаться на совесть этого кого-то. Стукнуть такой программе по голове — вполне нормальное решение, на мой взгляд.

Gotf ★★★
()
Ответ на: комментарий от Dobriy_i_Prostoy

Он как бы намекает, что из-за мифичности безбажности соотношение преимущества/недостатки может перевешивать не в пользу деб.

anonymous
()
Ответ на: комментарий от anonymous

Не думаю что это можно назвать эксплоитом в том смысле который вкладывают в это слово скрипткидсы.
Получишь ты например программку которая каким-то хитрым образом запускает ls таким образом что ls крешится. И чё?

MrClon ★★★★★
()
Ответ на: комментарий от af5

Они не хотят расшатывать нежную психику некоторой части населения. Пропаганда суицида, все дела.

anonymous
()
Ответ на: комментарий от init_6

К твоему сведению, главный мантейнер ядра в Debian одновременно главный мантейнер ядра 3.2 на kernel.org. Но куда уж ему до тебя!

Polugnom ★★★★★
()
Ответ на: комментарий от Polugnom

К твоему сведению, главный мантейнер ядра в Debian одновременно главный мантейнер ядра 3.2 на kernel.org. Но куда уж ему до тебя!

И это как то меняет тот факт что последнее стабильное ядро в 3й ветке это 3.9.8 ?

init_6 ★★★★★
()
Ответ на: комментарий от Gotf

Обкатали уже, наверное. На самом деле, сижу на нём, потому что обновляться лень.

RedNikifor ★★
()
Ответ на: комментарий от plm

Как связана UNIX-way со стабильностью API & ABI? Это нормальная практика давно сгинувших ЪUNIXов. Походу ты путаешь «API stable is nonsence» от Линуса, того самого который разработчик и платформы со стабильными интерфейсами для организации производственного цикла, где разработка софта это сопровождающие работы для производства, а не конечный товар/услуга.

leonidko ★★★★
()
Ответ на: комментарий от init_6

Никак не меняет. Но не меняет и того факта, что 3.2 официально поддерживается на kernel.org точно так же как и 3.9.

Polugnom ★★★★★
()
Ответ на: комментарий от Polugnom

Никак не меняет. Но не меняет и того факта, что 3.2 официально поддерживается на kernel.org точно так же как и 3.9.

Ага так же как и 2.6.32.61 а дальше отматывай назад и читай про то где открытых известных проверенных и надежных дырок больше.

init_6 ★★★★★
()

Найдено ... уязвимостей

thousands of crashes

желтовато. хотя баги надо закрывать

xsektorx ★★★
()
Ответ на: комментарий от af5

АПВС?

Для тупых повторю:
«На три порядка - это 1200000. В дебиане каков размер пакетной базы?»
Впрочем для вас это бесполезно, вы же все равно читать не умеете.

andreyu ★★★★★
()
Ответ на: комментарий от Gotf

То есть ты предлагаешь переложить обработку всех тех ситуаций, которые вызывают ошибку сегментирования, на автора программы?

Кроме аппаратных ошибок.

Еще раз, ошибка сегментации — это доступ по неверному адресу: использование неинициализированных переменных, выход за границы буфера, запись в память, доступную только для чтения. Если программист это допускает, это его косяк.

sjinks ★★★
()
Ответ на: комментарий от Gotf

Стукнуть такой программе по голове — вполне нормальное решение, на мой взгляд.

Да, но это не повод перекладывать логические ошибки в коде на ОС. До тех пор, пока ОС прибьёт программу по сегфолту, может случится много неприятных вещей, в том числе и порча пользовательских данных. Соответственно, если программа не может обработать исключительную ситуацию, она должна авоститься, а не полагаться на то, что ось её прибьёт по сегфолту, если что пойдёт не так. Первое — нормальное решение, второе — потенциальная дыра в безопасности.

sjinks ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.