LINUX.ORG.RU

Уязвимости в ядре Linux и нужно ли их хранить в тайне

 , ,


0

0

После анонса 2.6.25.10 релиза стабильной версии ядра, Greg Kroah-Hartman в сопроводительном тексте обратил внимание (http://lkml.org/lkml/2008/7/3/40) на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связана с устранением многочисленных уязвимостей, стало известно только спустя неделю, после публикации отчетов (http://secunia.com/advisories/31048/) о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил (http://kerneltrap.org/Linux/Security_...) продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка (http://kerneltrap.org/node/4540). Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Linux - RevolutionOS. РМС в мэйтнэйнеры ! Линус - го хоме(Финланд) !

anonymous
()
Ответ на: комментарий от anonymous

> давайте не забывать откуда взялась в Linux, Нормальная сеть. в 2.2.xx-ядрах. из BSD и взялась. остальное - тоже не на деревьях росло.

Ты мудал или что? Откуда такие высказывания?

kost-bebix ★★
()

выдавать вместе с паспортом - имплантант. без аквтивированного и включенного в Моск, которого, IT-интерфейсы акромя 112 - будут недоступны.

те аналогично контролю закритических режимах на боевых самолетах.

anonymous
()
Ответ на: комментарий от Shalakhin

>Самая большая уязвимость - это пользователь системы. :) Как будем это исправлять?

Пересадить за другую ОСь, где о безопасности думают, а не отворачиваются.

iZEN ★★★★★
()

а вообще - голова у HRM и Cecurity должна болеть на тему "people weakness".

p.s. и тренеров корпоративных, мб(если она большая).

anonymous
()
Ответ на: комментарий от anonymous

>Линус хреновый менеджер

Видимо поэтому, написанное им ядро операционной системы так и никого не заинтересовало и затерялось на фоне других поделок-однодневок...

kraw ★★★★
()
Ответ на: комментарий от Erik_der_Zweite

>И вообще, Masturbating Monkey - кодовое название релиза убунту 2010.10.

Откуда такая информация? Или очередная ацетоногазификация?

anonymous
()
Ответ на: комментарий от GFORGX

>> Ага, поэтому в итоге их ОС работает максимум как роутер с firewall и не более того.

>А ты не осилил, что им большего и не надо, не?

"Зелен виноград"

kraw ★★★★
()

да все правильно линус говорит - нефиг делать идола из безопасности - работать тоже надо, а не только со своей параноей возиться.

Tester ★★★
()

Вот именно поэтому надо использовать нормальные дистры, типа Owl - ядро хоть и старое, но безопасное, с регулярной ревизией кода. Если нужно ядро 2.6 - то только с патчами grsecurity.

Пока разработчики различных быдлодистров не поставят акцент на секурити, линабз будет оставаться системой, которую поимеет любой киддис, купивший одэй сплоент. И ни один SELinux быдлу не поможет.

ЗЫ. Сторонник того, чтобы все уязвимости использовались с максимальным ущербом для разработчиков и быдлопользователей.

anonymous
()

Поправьте новость - напишите там *как* Линуз ОпенБСДшников назвал. Я так понимаю, что он ЛОР слишком часто читает - мозг отрофировался...

Линуз, твою маму весемь раз, акстись!!!

anonymous
()
Ответ на: комментарий от Tester

>да все правильно линус говорит - нефиг делать идола из безопасности - работать тоже надо, а не только со своей параноей возиться.

ню-ню, посмотрю что ты скажешь когда тебя это коснётся! :) Кстати напомню если забыли :) Помните за что Вы ругаете Винду? Правильно, за отсутствие безопастности и надёжности :) Тоже будет и с линуксом, если "забить" на безопастность

anonymous
()

Выёбистые пендопизд^Wанглоговорящие онанимусы на моём ЛОРе? Нет пути, однозначно.

anonymous
()

Линукс - это открытая среда for fun, так что все уязвимости желательно видеть открытыми, чтобы каждый мог оценить её опасность и принять меры. А если кто-то делает на базе Линукс бизнес, то это его проблема.

matumba ★★★★★
()
Ответ на: комментарий от Tester

> да все правильно линус говорит - нефиг делать идола из безопасности - работать тоже надо, а не только со своей параноей возиться.

Ага, он такого наработает, что сделает систему дырявее винды.

anonymous
()

завтра, Линус - скажет обратное. это нормально. для него.

anonymous
()
Ответ на: комментарий от vzard

Я не пойму, почему не сделать как у приличных людей? Скажем у тех же *BSD и прочих солярисов? Информация раскрывается только после выпуска хорошо протестированных апдейтов от тех же RH, Novell. У клиентов же бизнес, и с их интересами надо считаться в первую очередь.

Sun-ch
()
Ответ на: комментарий от anonymous

> безопасТности и надёжТности

fixed

anonymous
()
Ответ на: комментарий от anonymous

> Пока разработчики различных быдлодистров не поставят акцент на
> секурити, линабз будет оставаться системой, которую поимеет любой
> киддис, купивший одэй сплоент. И ни один SELinux быдлу не поможет.
> ЗЫ. Сторонник того, чтобы все уязвимости использовались с
> максимальным ущербом для разработчиков и быдлопользователей.

ну так в чем проблема ? вперед и с песней - купи эксплойт на недавний баг в ДНС и замочи всех

кстати - кто конкретно знает что это был за баг ? линус предлагает перенять аналогичный подход - скрытое обновление в среде дистроклепателей, если только баг уже не получил широкой огласки

Tester ★★★
()
Ответ на: комментарий от anonymous

Никто на ужастную безопастность не забивает. Просто нефиг делать из нее идола, есть полно и другой работы, которую тоже надо делать. Та же стабильность.

redgremlin ★★★★★
()

аналогичный ЧЕМУ ? виндовз?

anonymous
()
Ответ на: комментарий от matumba

>А если кто-то делает на базе Линукс бизнес, то это его проблема.

Линакс давно развивается на денежки этих самых "бизнесменов". Без них SMP и ccNUMA прочие энтерпрайз фичи красноглазые студни никогда бы в жизни не написали.

Sun-ch
()

Разговор по моему ни о чем. Ядро открыто, хочешь копать уязвимости - да не вопрос, хочешь узнать что пропатчилось - дифы к твоим услугам. То что пофиксено - _уже_ пофиксено, к чему вспоминать ошибки которые исправлены?

A-234 ★★★★★
()
Ответ на: комментарий от Sun-ch

> Я не пойму, почему не сделать как у приличных людей? Скажем у тех же
> *BSD и прочих солярисов? Информация раскрывается только после выпуска
> хорошо протестированных апдейтов от тех же RH, Novell.

Мля, так об этом и идет речь. Полная информация - в закрытой рассылке, для лиц имеющих отношение к клепанию ядра, скорей всего, представителей крупных дистрибутивов. Для остальных - по исправлении. И то им знать полные подробности не особо нужно - это прямая помощь эксплойтописателям

Tester ★★★
()

большая часть "красноглазых студней" - работает в компаниях Fortune500(среди прочего), по контракту и без. и Linux занимаются "For Fun" ЗАДОЛГО до того, как на него обратили вснимание Ынтерпрайзы. "красноглазые студни" - это скорее про обитателей редмондского клоповника.

anonymous
()
Ответ на: комментарий от matumba

> Линукс - это открытая среда for fun, так что все уязвимости желательно видеть открытыми, чтобы каждый мог оценить её опасность и принять меры. А если кто-то делает на базе Линукс бизнес, то это его проблема.

Тем, у кого единственный фан - security masturbation, не место в нашей песочнице.

anonymous
()

> Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле, исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

IMHO Линус прав.

Нужно помнить, что решение вопросов безопасности, в данном случае, лежит в области алгоритмизации и проблем реализации алгоритмов. Это, в свою очередь, накладывает свой отпечаток на методику работы с исполнителями: паника не способствует мыслительным процессам и продуктивности работы. Спокойствие и методичность главного координатора проекта, при попытках разжигания организованной клоунады, -- хорошее известие. :)

Периодическая истерика по-поводу безопасности, по определению, кроме душещипательного шоу, не несёт никакого конструктивного содержания. Да... есть ещё коммерческие интересы конкурентов, и они, наверняка, всеми конечностями голосуют за истерику и шоу, но IMHO не стоит им потакать. :)

Планомерный технический подход к решению накопившихся проблем -- основной залог стабильности проекта, залог отсутствия скоропалительных решений и залог отсутствия лавинообразного роста количества новых проблем (как структурных, так и безопасности, в том числе).

:-)

Neksys ★★★
()

Правильно Линус делает. Как программер я его прекрасно понимаю. Сначала надо иметь полностью рабочую систему, а уже потом делать её безопасной.

К тому же локальные сплоиты меня вообще не волнуют, ибо у меня домашний комп. :)

Но вот идея новой нумерации ядра мне не нравится. ( Неправильно это.

anonymous
()
Ответ на: комментарий от anonymous

>давайте не забывать откуда взялась в Linux, Нормальная сеть. в 2.2.xx-ядрах. из BSD и взялась. остальное - тоже не на деревьях росло.

Бегом учить историю - сетевой стек написан линуксоидами с нуля. socket и tcp/ip Алексеем Кузнецовым, skb - Аланом Коксом.

anonymous
()
Ответ на: комментарий от anonymous

Long live Linux botnets!

> Правильно Линус делает. Как программер я его прекрасно понимаю.

Имя Ваше назовите. Ну чтобы я Ваши поделия обходил десятой дорогой.

> Сначала надо иметь полностью рабочую систему, а уже потом делать её безопасной.

Гнать взашей нужно таких "программеров".

> К тому же локальные сплоиты меня вообще не волнуют, ибо у меня домашний комп. :)

Подсказка: локальный эксплоит -- это именно то, чем через дырку в бродилке/ смотрелке/игралке/ "домашний комп" превращается в рассадник вирусни и спама.

P.S.

Эра Linux'овых вирей и червяков уже совсем близко.

Dselect ★★★
()

это плохо совсем по другой причине. иного способа избежать (c разумной вероятностью) "хождения по граблям", программистами - НЕТ. кроме как делиться всем этим друг с другом. коммьюнити - Сила !

а возврат к "дырявовелосипедоизобретательству" - не гуд.

*метнулся за учебником истории, но нашел там неоднозначные данные* ISBN "правильной" книжки по линукз хистори не подскажете ?

anonymous
()
Ответ на: комментарий от Tester

Свобода — это рабство. Незнание — сила.

> Полная информация - в закрытой рассылке, для лиц имеющих отношение к клепанию ядра,

Следующий шаг -- исходники доступны только в закрытой рассылке, только для (некоторых) разработчиков. Чисто чтоб всякие лоботрясы не искали дырок и не писали эксплоитов.

> Для остальных - по исправлении. И то им знать полные подробности не особо нужно - это прямая помощь эксплойтописателям

Это помощь админам и пользователям, чтоб можно было проверить, касается ли эта ошибка ядра, которым они пользуются, и действительно ли она исправлена в обновлённом ядре. А красноглазые хацкеры знают подробности *задолго* до того, как ошибку найдут и исправят, и никакие игры в прятки тут не помогут (см. виндовозная вирусня).

Dselect ★★★
()

нефиг было привыкать к сокращению GNU/Linux -> Linux, тогда меньше бы гипертрофировалась бы роль ядра и диску^бесполезные флеймы были бы короче

anonymous
()
Ответ на: комментарий от dm1024

> Я правильно понял, что Лайнус назвал разработчиков OpenBSD задр0тами?

Нет, неправильно. OpenBSD crowd это НЕ OpenBSD developers/team. Это толпа пользователей, которые дрочат на безопасность.

anonymous
()
Ответ на: Ну вот и всё... от Dselect

ну как повод надратся в пятницу - пойдет
а так - ой, спешите батенька
:)

elipse ★★★
()
Ответ на: Свобода — это рабство. Незнание — сила. от Dselect

> Следующий шаг -- исходники доступны только в закрытой рассылке,
> только для (некоторых) разработчиков. Чисто чтоб всякие лоботрясы
> не искали дырок и не писали эксплоитов.

лицензия не позволит. и вообще - не нравится - форкай ядро, ищи в нем дырки и публикуй, можешь даже сразу же с эксплойтами - все пользователи к тебе потянутся :)

> Это помощь админам и пользователям, чтоб можно было проверить,
> касается ли эта ошибка ядра, которым они пользуются, и
> действительно ли она исправлена в обновлённом ядре.

сними розовые очки - админы и пользователи (за редким исключением) узнают об апдейтах когда делают apt-get update && apt-get upgrade.
и их мало волнует - что там за ошибка была исправлена. если есть воркэраунд - об этом обычно и так информируют, если его нет, также как и фикса - чего трепыхаться ? душу своей машины ты продал тогда, когда поставил какой-то дистрибутив

> А красноглазые хацкеры знают подробности *задолго* до того, как
> ошибку найдут и исправят, и никакие игры в прятки тут не помогут

это только часть правды. другая часть правды заключается в том что кулхацкеры простым грепом по дифу/чейнджлогу получают практически все готовенькое для написания эксплойта. вот от этого и поможет ограничение информированности на период, пока ошибка не будет исправлена. а после того как она исправлена, апдейты разосланы - вреда от такой информации минимум. кому надо тот ее и так извлечет потом.

мое имхо - информация об ошибках должны распространяться только среди тех, кто может ее исправить. смысла в публикации информации о баге, причем достаточном для ее эксплойта, для конечных пользователей никакого - один вред, поскольку информация уйдет в руки недоброжелателей. Примеров полно - и недавний баг в ДНС о котором мало что известно до сих пор, и баги в мозилле - которые попортили всем крови. в первом случае все прошло чинно и спокойно, во втором - это было натуральное шоу - мы нашли дырку спустся N часов после релиза !!! Мозилла две недели фиксит баг !!! и тд и тп.!!! лично мне первый вариант нравится гораздо более.

Tester ★★★
()

>>Имя Ваше назовите. Ну чтобы я Ваши поделия обходил десятой дорогой. А что, не видно? Анонимус )))

Ну а вообще, кто на моём компе сможет сделать рассадник вирей, если к нему доступ имею только я ? ))) Через локальные язвы рутовский пароль могут заполучить тока проги. Ну и где я найду такие проги, чтоб в них был втроен код, который у меня через эти локальные язвые получит права Рута? :)

Реальную опасность представляют только удалённые уязвимости.

anonymous
()
Ответ на: Long live Linux botnets! от Dselect

> Сначала надо иметь полностью рабочую систему, а уже потом делать её безопасной.

>Гнать взашей нужно таких "программеров".

Сомневаюсь, что имелось ввиду "программа может быть дырявой и открывать все порты, лишь бы работала". Просто нельзя задротствовать на одном, Линух не только за безопасность любят, но и за uptime!

Irben ★★★
()
Ответ на: комментарий от Irben

>Линух не только за безопасность любят, но и за uptime!

Какая на фиг безопасность!? Ты чё не понял, Линус сказал в ЖОПУ безопасность! Так что linux теперь как windows такой же дырявый и глючный!

anonymous
()

>>И вообще, Masturbating Monkey - кодовое название релиза убунту 2010.10.

писарь, возжигаше! =) зачет!

anonymous
()

Обычные рядовые ошибки, не опснее бага в контроллере ХДД или еще где. И не куй уподобляТься Касперским и делать из этого шоу и пеар.

an-ha ★★
()
Ответ на: комментарий от anonymous

> Какая на фиг безопасность!? Ты чё не понял, Линус сказал в ЖОПУ безопасность! Так что linux теперь как windows такой же дырявый и глючный!

Паранойя? Линус сказал и в один миг Linux стал дуршлаком. Молодца! Не лежишь ещё всем офисом со своего сообщения? Линус своим высказыванием как бы не приказал Red Hat'у или кому-нибудь ещё забить на безопасность. И не надо впадать в крайности, да?!

Irben ★★★
()
Ответ на: комментарий от anonymous

>>Какая на фиг безопасность!? Ты чё не понял, Линус сказал в ЖОПУ безопасность! Так что linux теперь как windows такой же дырявый и глючный!

Перечитайте ещё раз всё. Линус сказал, что безопасности как раньше уделялось столько же внимания, как и обычным багам, так и будет столько же уделяться.

И не надо сравнивать с Виндовс. Там вообще о расширении функционала речи нет, они лишь изредко, через силу, делают сервис-паки, которые порождают кучи новых багов, зато делают немножко безопаснее систему.

Для меня, обычного, некорпоративного пользователя, важно расширение функционала, а не то, что после определённой сложной и длинной цени событий у меня прога может получить рут-доступ, при том, что такой проге неоткуда взяться.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.