LINUX.ORG.RU
 

Безопасность операционных систем. Итоги года.


0

0

Заканчивается 2004 год. Предлагается обзор операционных систем по их безопасности за уходящий год. Статистика взята с сайта http://secunia.com. В обзоре участвуют:

Linux-2.4.x => http://secunia.com/product/763/?perio...
Linux-2.6.x => http://secunia.com/product/2719/?peri...
FreeBSD 4.x => http://secunia.com/product/139/?perio...
FreeBSD 5.x => http://secunia.com/product/1132/?peri...
NetBSD 1.x => http://secunia.com/product/255/?perio...
OpenBSD 3.x => http://secunia.com/product/100/?perio...

Среди представленных критериев выбраны следующие:

o Advisories (количество учтенных уязвимостей)
Меньше всего уязвимостей обнаружено в релизах FreeBSD, 4.x - 13 отчетов об уязвимостях, 5.x - 16 - ну просто двойной удар :)

o Solution Status (статус решений)
Здесь дружно взяло верх семейство FreeBSD, OpenBSD, NetBSD- 0% Unpatched впечатляет, видно - для Linux еще остаются нерешенные проблемы с безопасностью.

o Criticality (критичность)
По этому критерию безусловный лидер - Linux-2.4.x, всего лишь 4% среднекритичных уязвимостей и полное отсутствие высококритичных.

o Where (откуда уязвимы)
Linux-2.4.x опять принимает поздравления - всего 7% удаленных и 14% уязвимостей из локальной сети (взгяните к примеру на NetBSD 1.x).

Решать, какая из систем достойна в следующем году места лучшей по безопасности, будет каждый для себя, главное, что принципы Open Source работают и приносят свои плоды.

P.S. А если станет грустно сравните с offtopic :)

>>> Другие ОС и дистрибутивы

НАУЧИ КОМПЬЮТЕР ВАРИТЬ КОФЕ

управление электрическими цепями с помощью компьютера
лучший подарок для техногика; только открытые программы
http://www.unicontrollers.com/products/unc01x

1 2
[#]  

Re: Безопасность операционных систем. Итоги года.

Имхо сравнивать количество ошибок в ядре и в полноценной ОС - бред. Давайте уж тогда посмотрим на http://secunia.com/product/2536/ или на http://secunia.com/product/1044/

()
[#]  
Sun-ch

Re: Безопасность операционных систем. Итоги года.

Я чего-то не понял такой статистики

В SA от OpenBSD учитываются дырки в login_radius, Xpm, zlib,

httpd/mod_ssl и т.д.

А для ляпикса учитываются исключительно дырки в Linux kernel.

Потянуло парфюмерией дешевого пеара.

# ()
[#] Ответ на: Re: Безопасность операционных систем. Итоги года. от Sun-ch 18.12.2004 16:38:36  
MiracleMan

Re: Re: Безопасность операционных систем. Итоги года.

а ты разве не догадываешься почему так? а вроде бы разумный человек.. одни "умники" сравнили длинну с площадью,.. бывает.. не стоит всем же им уподоблятся.. а так, вообщем,.. за здравие всех альтернитив! :-)

***** ()
[#]  
init

Re: Безопасность операционных систем. Итоги года.

Если учитывать дырки не только в ядре linux, то пришлось бы брать конкретные дистрибутивы.. А их много.

***** ()
[#] Ответ на: Re: Безопасность операционных систем. Итоги года. от Sun-ch 18.12.2004 16:38:36  

Re: Re: Безопасность операционных систем. Итоги года.

Ну так БЗДунишки же всегда кричат о том, что в отличии от лялиха БСД это целая система... вот и получили.

anonymous ()
[#] Ответ на: Re: Re: Re: Безопасность операционных систем. Итоги года. от abbath 18.12.2004 17:21:55  

Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

*БЗДи без портов - не полноценные системы. Сравнивать готовое бесполезно, надо по каждой уязвимости смотреть... я полгода назад так делал насчёт 2003-го года... фриБЗДя получилась что-то около 8, у линуха около 12... в общем, один хрен, плохо... :(

anonymous ()
[#] Ответ на: Re: Re: Безопасность операционных систем. Итоги года. от MiracleMan 18.12.2004 16:44:54  
Sun-ch

Re: Re: Re: Безопасность операционных систем. Итоги года.

Ну дык я помню сколько было воплей и слюней по поводу неоъективности

отчета от господ из М2Г.


Меня обвинили во всех смертных грехах, включая растление девственниц в

Занзибаре.

# ()
[#] Ответ на: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от anonymous 18.12.2004 17:28:10  
Sun-ch

Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

>*БЗДи без портов - не полноценные системы.

Чего же так? Все основные сервисы в наличие, в опен даже апаче есть.

Ну перделок типа кде или оракела там конечно нет.

Ну дык и для ляпикса оракел отдельно покупать надо?

# ()
[#]  
baka-kun

Re: Безопасность операционных систем. Итоги года.

"Прелестно, прелестно" (с) одна ворона.

Причем для *BSD посчитали за отдельную уязвимость каждое обновление sendmail, bind, cvs, openssh и т.п.

Если уж Linux -- это только ядро, так и сравнивайте с ядрами *BSD. Если уж взяли для сравнения целиком *BSD ОС, то и сравнивайте с дистрибутивами GNU/Linux равноценной комплектации.

**** ()
[#] Ответ на: Re: Re: Re: Безопасность операционных систем. Итоги года. от Sun-ch 18.12.2004 17:39:12  
MiracleMan

Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

да, я тоже помню,.. тут вообще, местная особенность и анонимусы как лики господни... :-) в любом случае любое мнение, если оно претендует на обьективность, представляет из себя определённый интерес..

>Меня обвинили во всех смертных грехах, включая растление девственниц в Занзибаре.

не принимай близко к сердцу, время всх рассудит..

***** ()
[#] Ответ на: Re: Безопасность операционных систем. Итоги года. от Sun-ch 18.12.2004 16:38:36  

Re: Re: Безопасность операционных систем. Итоги года.

> А для ляпикса учитываются исключительно дырки в Linux kernel.

Хм, сравним рекламу от OpenBSD:
"Only one remote hole in the default install, in more than 8 years!"

Чего ж ты не кричишь, что это нечестно, что 'default install' == 'obsd kernel'?

** ()
[#] Ответ на: Re: Безопасность операционных систем. Итоги года. от init 18.12.2004 16:51:40  

Re: Re: Безопасность операционных систем. Итоги года.

Заметано, давай глянем:

Slackware Linux 9.1 (42 уязв.)=> http://secunia.com/product/2265/?period=2004#statistics

SuSE Linux 9.1 (35 уязв.) => http://secunia.com/product/3473/?period=2004#statistics

Mandrake Linux 9.x ( 119 уязв.) => http://secunia.com/product/3473/?period=2004#statistics

*** ()
[#] Ответ на: Re: Re: Re: Безопасность операционных систем. Итоги года. от MiracleMan 18.12.2004 20:12:52  

Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

да какая разница входят ли в отчеты линуксовых дистрибутивов уязвимости ядер или нет, общей картины это не меняет. Все что касется linux двойственно (дистрибутив + ядро), и дистрибутивщики часто пропускают те же дырки, что и в ядрах от www.linux.org, но это в любом случае лучше чем закрытый код - вот и весь вывод. А у кого меньше уязвимостей и все они пропатчены и так понятно.

*** ()
[#]  
tokza

Re: Безопасность операционных систем. Итоги года.

ну когда уже я увижу подобное сравнение Linux kernel и того, что в /usr/src/sys в open/free/net...

* ()
[#] Ответ на: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от x97Rang 18.12.2004 20:24:28  
mikhail

Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

>это в любом случае лучше чем закрытый код - вот и весь вывод.

Тем более, что в закрытом коде больше неизвестных дыр.

# ()
[#]  

Re: Безопасность операционных систем. Итоги года.

Нашли, откуда статистику брать! На Secunia ляпов хватает. Последний пример:

NASM "error()" Function Buffer Overflow Vulnerability Release Date: 2004-12-17 Impact: System access Solution Status: Unpatched Solution: Don't assemble files from untrusted sources. Where: From remote (!!!!!)

И, ведь, учтут эту дырку как remote...

anonymous ()
[#] Ответ на: Re: Re: Безопасность операционных систем. Итоги года. от MiracleMan 18.12.2004 22:24:05  
tokza

Re: Re: Re: Безопасность операционных систем. Итоги года.

а разве это не более корректное сравнение, нежели "linux (kernel) против *bsd (system)". а так - будут сравнивать кернель с кернелем, практически.

* ()
[#] Ответ на: Re: Re: Re: Безопасность операционных систем. Итоги года. от tokza 18.12.2004 22:27:21  
MiracleMan

Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

не совсем так,.. Linux ядро может жить и само по себе.. ядро *BSD для подобных условий сусчествования не адаптированно.. позиционируются они по разному, вот в чём основная разница..

***** ()
[#] Ответ на: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от MiracleMan 18.12.2004 22:34:26  
tokza

Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

> не совсем так

как же, по-твоему, наиболее корректно сравнивать системы между собой, в плане кол-ва ошибок? Ведь что ни возьми, всюду одно и то же - сравнивают BSD, где named/ssh/etc часть системы (или, еще хуже - венду, где считают даже уязвимости media player'a как части системы) и линух - ядро, по сути.

* ()
[#] Ответ на: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от tokza 18.12.2004 22:54:22  

Re: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

> венду, где считают даже уязвимости media player'a как части системы) и линух - ядро, по сути.

А что ты предлагаешь? Ядро линукс интересно само по себе. А венда, кому
она нужна без медиа плейера? Бесполезный пожиратель ресурсов.

()
[#] Ответ на: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от tokza 18.12.2004 22:54:22  
MiracleMan

Re: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

недалёкие люди занимаются подобной ерундой... не надо сравнивать относительности, надо работать, использовать, если можешь, исправлять и улучшать..

***** ()
[#] Ответ на: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от MiracleMan 18.12.2004 22:34:26  
baka-kun

Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

> Linux ядро может жить и само по себе.. ядро *BSD для подобных условий сусчествования не адаптированно.

Ну ведь чушь смолол, не видишь? "Ядро ХХХ может жить само по себе"... Ага, без инита, шела и прикладного софта. Высший дзен -- ядро, существующее ради самого существования.

Хотя... У меня есть проект, где оттюненное ядро FreeBSD 2.2.7 грузится из флеша, в loader.conf настраиваются интерфейсы и необходимые sysctl, а вместо init запускается маленькая проприетарная софтинка, которая слушает 80 и 23 для общения с пользователем, обрабатывая параллельно информацию с пары сотен canbus датчиков. Да и в picoBSD, поднимающейся с дискетки, обилия юзерленда что-то не обнаружено. А уж про GNU/FreeBSD я и не говорю...

**** ()
[#] Ответ на: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от baka-kun 19.12.2004 0:26:09  
o1o

Re: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

> Ну ведь чушь смолол, не видишь? "Ядро ХХХ может жить само по себе"...

но ведь Слака без Линукса работает и ничего? :))

# ()
[#] Ответ на: .. от x97Rang 19.12.2004 7:38:48  

Re: ..

на QNX RTOS можно поднять WEB-сервер?

anonymous ()
[#] Ответ на: Re: .. от anonymous 19.12.2004 8:11:54  

Re: Re: ..

и FTP можно поднять, судя по тому что дырки в нем находили, а про ОС можно здесь глянуть http://www.qnx.com/products/rtos/

*** ()
[#] Ответ на: Re: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от eprst 18.12.2004 23:14:25  

Re: Re: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

>Ядро линукс интересно само по себе. А венда, кому >она нужна без медиа плейера?

А разве в Just for fun Линус не высказывал несколько иную точку зрения на нужность голой ОС ?

anonymous ()
[#] Ответ на: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года. от tokza 18.12.2004 22:54:22  
Kuzmich

Re: Re: Re: Re: Re: Re: Безопасность операционных систем. Итоги года.

Вы, однако, гоните, сразу видно, что вы репорты не читали.
В том то всё м дело, что там некорректно сравнивается
_весь_ дистрибутив с *BSD base.

** ()
[#]  

Re: Безопасность операционных систем. Итоги года.

>7% удаленных и 14% уязвимостей из локальной сети

Народ, ну сколько можно эту глупость повторять и пропускать, ну нет уязвимостей из локальной сети, поскольку они относятся к удалённым!

anonymous ()
[#] Ответ на: Re: Безопасность операционных систем. Итоги года. от anonymous 19.12.2004 12:26:42  

Re: Re: Безопасность операционных систем. Итоги года.

А чего так линуксоиды занервничали ?
Debian/Slackware/Gentoo нехило выглядят
по сравнению с *BSD системами.
Или дальше выложенных ссылок не заходили ?
ЗЫ Сравнивать Linux kernel с *BSD бред изначально.
На BSD-kernel ведь статистики нет ;-)

anonymous ()
[#] Ответ на: Re: Re: Безопасность операционных систем. Итоги года. от anonymous 19.12.2004 13:18:22  

Re: Re: Re: Безопасность операционных систем. Итоги года.

>> по сравнению с *BSD системами.

Хорошо подметил. Я, допустим, не собираюсь кажный божий день ядро на на серваке компилить. Удел убогих пингвиноидов.

anonymous ()
[#] Ответ на: Re: Re: Безопасность операционных систем. Итоги года. от anonymous 19.12.2004 13:18:22  

Re: Re: Re: Безопасность операционных систем. Итоги года.

> ЗЫ Сравнивать Linux kernel с *BSD бред изначально.
> На BSD-kernel ведь статистики нет ;-)

Кто тебе сказал, что нет ? Все учитывается, смотреть здесь

http://secunia.com/product/139/
и обязательно здесь

http://secunia.com/advisories/9504/

СМОТРИТЕ ВНИМАТЕЛЬНО !

*** ()
1 2
Безопасность