LINUX.ORG.RU

Уязвимости в ядре Linux и нужно ли их хранить в тайне

 , ,


0

0

После анонса 2.6.25.10 релиза стабильной версии ядра, Greg Kroah-Hartman в сопроводительном тексте обратил внимание (http://lkml.org/lkml/2008/7/3/40) на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связана с устранением многочисленных уязвимостей, стало известно только спустя неделю, после публикации отчетов (http://secunia.com/advisories/31048/) о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил (http://kerneltrap.org/Linux/Security_...) продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка (http://kerneltrap.org/node/4540). Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Это уязвимости венды надо хранить в тайне, чтобы она оставалась тем, чем назвал ее Тео.

emaxx ★★
()
Ответ на: комментарий от Evil_Wizard

>>[гармошко]

К логопеду! Правильно будет гармошкА.

anonymous
()
Ответ на: комментарий от anonymous

А оно не дружит? И если да то по какую версию включительно? А то я тут апдейт задумал и было бы мне счастье...

KblCb ★★★★★
()
Ответ на: комментарий от anonymous

А как Вам это (http://article.gmane.org/gmane.linux.kernel/706950):

Security people are often the black-and-white kind of people that I can't stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.

Ну что теперь скажите?

anonymous
()
Ответ на: комментарий от KblCb

>А оно не дружит? И если да то по какую версию включительно? А то я тут апдейт задумал и было бы мне счастье...

У меня 2.25 не работает. 2.26 не порбовал.

PS Я другой анонимус

anonymous
()

решето

anonymous
()
Ответ на: комментарий от anonymous

>I think the OpenBSD crowd is a bunch of masturbating monkeys

Линус совсем охренел! его мнению получаются, что люди которые беспокоятся о надёжности и безопасности, это мастурбирующие обезьяны! Тоже наверное он и о нас с вами думает!

УХОЖУ НА BSD!

anonymous
()

Линус, как всегда прав и видит, как хороший руководитель успешного проекта, главное (разработка и доводка ядра), а ему советуют заниматься второстепенными делами, после чего он справедливо посылает тех советчиков.

record ★★★★★
()

начиная с 2.6.25 любых(!!) см диспуты и попытки выпихнуть в "deprecated" LILO(к счастью - пока не ...)

p.s. я тот ананимус :)

anonymous
()

>что пользователи должны обязательно обновить ядро, не уточнив при этом причину

О чём это? До этого, что? Уточняли причину? "Уважаемые девелоперы! Я пропатчил ядро ибо вышла новая версия!". Или я что-то не понимаю?

AntiWindows
()
Ответ на: комментарий от record

>Линус, как всегда прав и видит, как хороший руководитель успешного проекта, главное (разработка и доводка ядра), а ему советуют заниматься второстепенными делами, после чего он справедливо посылает тех советчиков.

И получится новый Windows! Ты этого хотел? Там тоже нельзя советовать!

anonymous
()

Линус хреновый менеджер и скверный евангелист. попробуй он сказать в адресс ветеранов войны в Заливе или Японской, что они "mastrubating on their guns" - ему бы быстро обьяснили. те демагогия и "передергивания" - занимают место аргументов, по исчерпании таковых.

p.s. "лучший способ убить Идею - ВЫСМЕЯТЬ ее" (c) Рокфеллер, 1912 год.

anonymous
()

Ждём разумных комментариев Тео и песни и комикса OpenBSD 4.4 :) Чувствую, они там оторвутся :)

GFORGX ★★★
()
Ответ на: комментарий от anonymous

"исправление обычных ошибок является более важной задачей"

imho, это правильно.И у него свои приоритеты.

Кому хочется других, "секюрити" фиков, тем можно коммитить патчи. Какие проблемы?

record ★★★★★
()

нуда, Линус - Пиарит "несекьюрный компьютинг" или пытается "прикрыть свою попу". как ко-координатора. те в штиле USSR "сегодня в секьюрности(мясе)потребности - НЕТУ" "есть мне еще чем заняться, помимо ... список на 3 листа А4, характеризующий его ОБЯЗАННОСТИ в рамках статуса"

p.s. просто зависть ? но тогда бы он столь "художественно" не пытался бы желаемое с действительным - местами махнуть. похоже, Линус - просто казачок БГ.

anonymous
()

Всё правильно Вождь/БОГ Линус говорит. Ошибки безопасности просто надо исправлять, и ядро почаще апдейтить... :)

fpga
()
Ответ на: комментарий от anonymous

Те, кому нужна безопасность на Linux, используют Debian stable с 2.6.18) Последние ванильные на сервера обычно не ставят. Чего раскричались-то?

anonymous
()
Ответ на: комментарий от anonymous

> Ну что теперь скажите?

Скажем, что он прав.

:

one reason I refuse to bother with the whole security circus is that I think it glorifies - and thus encourages - the wrong behavior.

It makes "heroes" out of security people, as if the people who don't just fix normal bugs aren't as important.

In fact, all the boring normal bugs are _way_ more important, just because there's a lot more of them. I don't think some spectacular security hole should be glorified or cared about as being any more "special" than a random spectacular crash due to bad locking.

...

To me, security is important. But it's no less important than everything *else* that is also important!

LamerOk ★★★★★
()
Ответ на: комментарий от anonymous

>Чего раскричались-то?

Школьникам же надо чего-нить с утра делать, каникулы ведь. Вот они и кричат.

vtVitus ★★★★★
()
Ответ на: комментарий от anonymous

Я все думал, кто первый про masturbating monkeys выскажется :)

В основном шумиха вокруг этой фразы крутиться вокруг тех, кто английский понимает только со словарем :) Вот комментарий носителя языка:

they are saying that if a crowd of monkeys were masturbating they would not care what else is happening around them they would only care about masturbating

so the open bsd guys are being compaired to masterbating monkeys because like monkeys they dont care what is happening around them all that matters is what they are doing or care about

Ну, что ТЕПЕРЬ скажите ?

anonymous
()
Ответ на: комментарий от anonymous

А зачем OpenBSD-шникам делать что-то кроме безопасной ОС? Десктоп им нафиг не нужен, с устройствами, в принципе, всё в порядке, причём с этим они справляются сами - а не подписывают NDA, как делают разработчики до ужаса коммерциализированного Линукса.

GFORGX ★★★
()
Ответ на: комментарий от GFORGX

> А зачем OpenBSD-шникам делать что-то кроме безопасной ОС?

Ага, поэтому в итоге их ОС работает максимум как роутер с firewall и не более того.

anonymous
()
Ответ на: комментарий от anonymous

> Ага, поэтому в итоге их ОС работает максимум как роутер с firewall и не более того.

А ты не осилил, что им большего и не надо, не?

GFORGX ★★★
()

давайте не забывать откуда взялась в Linux, Нормальная сеть. в 2.2.xx-ядрах. из BSD и взялась. остальное - тоже не на деревьях росло.

Линус против "Героизации" тех кто занят исследованиями и разработками решений в области IT-Безопасности. с тех пор, как поработал в Transmeta. а это, предположительно может означать - массу интересных вещей. так СИЛЬНО И ГРОМКО он давно не кричал :)) видать задело ;)

anonymous
()
Ответ на: комментарий от GFORGX

А может и правда linux того?

То версии меняют, то о багах говорить нельзя...

Плохая тенденция однако...

anonymous
()
Ответ на: комментарий от Nexion

>OpenBSD не нужна (c) Linus

ИМХО то что действительно не нужно так это вантуз (виндовс) во всех его проявлениях. Всякие *BSD и Linux и прочие - есть уже хорошо в принципе, изначально :)

fpga
()
Ответ на: комментарий от anonymous

>И получится новый Windows! Ты этого хотел? Там тоже нельзя советовать!

Конечно. Стоит только проекту дорасти до достаточно крупных размеров, как накапливается слишком много проблем, которые удается разрулить в угоду всем. И так начинается диктатура одного. В MS это поняли сразу, а в Linux, похоже, до конца не верили в такой поворот событий.

anonymous
()
Ответ на: комментарий от anonymous

Сравнение было и осталось, и оно унизительно. Вот и всё. Я бы даже сказал, что слишком резкое и провоцирующее.

anonymous
()

угу, "осокрбительное и унизительное"(c), цынично-хамское высказывание человека, вконец "освиневшего"(потерявшего человеческий облик) на своем "Олимпе".

p.s. угу, пока пол не сменит - без.

anonymous
()
Ответ на: комментарий от anonymous

Re:

Каждый др$чит как он хочет.

Не вижу причин, почему ОпенБСД нельзя мастурбировать на безопасность, а линуксу - на всё, кроме безопасности.

anonymous
()

А ещё мечтают о новой моделе нумерации ядра. Ясно, что для отвода глаз от других проблем.

anonymous
()
Ответ на: Re: от anonymous

Re:

>а линуксу - на всё, включая безопасность.

Fixed.

redgremlin ★★★★★
()

неправильно поступили, нужно сообщать о наличии уязвимостей обязательно, а не ограничиваться намеками, вот детали и PoC код можно временно не раскрывать, хотя кому надо - сами найдут что и как.

Sylvia ★★★★★
()
Ответ на: комментарий от anonymous

> не раньше чем "подружат" новое ядро с LILO

А оно не работает??? С какой версии? Давно ядро не обновлял.

anonymous
()
Ответ на: комментарий от anonymous

> начиная с 2.6.25 любых(!!) см диспуты и попытки выпихнуть в "deprecated" LILO(к счастью - пока не ...)

Ужасс!!! LILO наше всё. Руки прочь от LILO!

PS: Машины с LILO -- лиловые, машины с GRUB -- ?? :)

anonymous
()

Нафиг ядру такой "символ", позволяющий себе такие высказывания. Хуже троллей ЛОРовских прямо.

anonymousI
()
Ответ на: комментарий от anonymousI

>Нафиг ядру такой "символ", позволяющий себе такие высказывания. Хуже троллей ЛОРовских прямо.

Он думает что без него ядро не будет дальше разрабатываться! ЛИНУС ТОРВАЛЬДС ЗАЖРАЛСЯ! В ТОПКУ ЕГО!

anonymous
()
Ответ на: комментарий от record

> "исправление обычных ошибок является более важной задачей"

В таком случае, с таким подходом, линуксу на сервере делать нечего!

anonymous
()
Ответ на: комментарий от Sylvia

>неправильно поступили, нужно сообщать о наличии уязвимостей обязательно, а не ограничиваться намеками, вот детали и PoC код можно временно не раскрывать, хотя кому надо - сами найдут что и как.

Соглашусь... Действительно, не надо раскрывать детали уязвимости, но надо сообщать что необходимо обновиться как можно скорее.

fpga
()
Ответ на: комментарий от anonymous

>В таком случае, с таким подходом, линуксу на сервере делать нечего!

И рынок сеерверов займёт... minix 3! Во Таненбаум обрадуется!

:)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.