была ли astra linux подвержена heartbleed?

нет, там была версия openssl без этой уязвимости

Есть информация о том, почему? Так случайно получилось или они втихаря всё нашли и просто не стали ставить эту версию?

Глобально я пытаюсь понять следующее. Ядро линукса - это, как говорят, уже больше 10 миллионов строк. Приложения - это ещё намного больше. И понятно, там полно закладок и просто случайных дыр. Каков процесс, который увеличивает надёжность Астры? У них есть волшебные секретные инструменты, которые ищут уязвимости, или они просто копируют исходники и говорят «это наша неуязвимая Астра».

Мне кажется, что на данный момент нет открытых инструментов, которые могли бы гарантировать неуязвимость. Понятно, что отдельные организации знают об уязвимостях гораздо больше, чем широкая публика, но достаточно ли этой разницы, чтобы считать Астру достаточно безопасной?

я думаю, что вам стоит почитать о том, как обеспечивается защита в Астре

Ключевые изменения в системе защиты информации: https://wiki.astralinux.ru/pages/viewpage.action?pageId=27361820

Конфиденциальность, категории доступа и целостность: что есть что, и как с этим работать? https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362553

Руководство по комплексу средств защиты, часть 1: https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362076

Спасибо, посмотрю.

«Ростех» строит многомиллионную ИТ-систему на Astra Linux (комментарий)

Там же:

Cogniter

версия в сертифицированном дистрибутиве - 1.0.0, она не подвержена этой уязвимости. Ещё вопросы будут?

Если скачается дистрибутив, то ковырну. Они хранят только последние.

была ли astra linux подвержена heartbleed?

Каков процесс, который увеличивает надёжность Астры?

Я задавала ровно этот вопрос докладчику из Астры на одном из линуксовых митапов в МСК.

Ответ был: «Вы ничего не понимаете в безопасности. Астра сертифицируется по таким классам безопасности о которых вы даже не слышали. И работает там на подлодках без доступа во внешнюю сеть. Поэтому ваши чайниковские heartbleed нас не волнуют».

Забавно насколько Cogniter похоже ответил. Ничего не изменилось.

А как я должен был ответить, если эта версия не была подвержена такой проблеме?

Какая - «эта» версия? там про версию речь не шла, речь была про процессы.

И ответить можно было бы честно:

Ни связи в ФСБ, ни сертификация, ни «особая российская команда разработчиков», ни переписанный selinux, никак не могут защитить от багов типа heartbleed.

От них защищает только 1) взаимодействие с мировым сообществом позволяющее узнавать о CVE заранее 2) быстрый и надежный процесс выкатки патча и обновления всех систем.

А где то заявлялось об отсутствии уязвимостей в Астре? Посмотрите бюллетени безопасности с обновлениями для Астры, увидите там обычные CVE.

А где то заявлялось об отсутствии уязвимостей в Астре?

Нет, ты этого не заявляешь. Ты всего лишь на вопрос «в чем особая астровая магия» вместо ответа «ни в чём» выдаешь набор невразумительных ссылок.

Я дал ссылку на описание средств защиты, почитайте, как это работает.

Да, и на классы безопасности ФСБ ещё добавь.

Хм, сработало. Можно больше в эти темы не влезать :)

Поковырял дистрибутив 2014 года. Там Дебиановские пакеты того времени. Имя 1.0.0, а версия 1.0.1e-2+deb7u9. С u5 уже не должен подвержен быть.

Старей сам ковыряй, я спать.

В дистрибутиве 2013 года тоже как в дебиане. strings|grep находят HEARTBEAT.

Т.е. был подвержен как дебиан, и исправили тогда же. С поправкой на задержку со сборкой и сертификацией.

Логика не совсем ясна, но в целом почти готов поверить. Всем спасибо!

новость в тему

«22 ноября ИСП РАН им. В.П. Иванникова в рамках своей Открытой конференции, посвященной 70-летию отечественного ИТ-сектора, заключит соглашение с АО «НПО РусБИТех» о продаже лицензии на статический анализатор Svace и динамический анализатор Crusher. Сделка позволит предприятию-разработчику отечественной сертифицированной операционной системы Astra Linux обнаруживать ошибки кода на ранних стадиях и повысить доверие к безопасности своей платформы, используемой в государственных и коммерческих информационных системах, в том числе в критически важных секторах экономики.

Статический анализатор Svace позволяет выявить ошибки в программном обеспечении, которые могут привести к сбоям в его работе, или уязвимости, создающие риск перехвата контроля над системой. В среднем при написании 1000 строк кода программист совершает около 20 ошибок, а с помощью Svace их число можно сократить в несколько раз.

Динамический анализатор Crusher дает возможность автоматически генерировать наборы входных данных программы, чтобы проверить ее устойчивость к обработке данных, не соответствующих ожидаемому формату. Crusher автоматически регистрирует ошибки времени исполнения, приводящие к аварийному завершению программы. Он уже успешно используется для обнаружения ошибок в программах пользовательского режима операционной системы Astra Linux в рамках подготовки ее к сертификации ФСТЭК России и для автоматического тестирования API технологии интернета вещей компании Samsung.»

https://scientificrussia.ru/articles/ao-npo-rusbiteh-povysit-doverie-k-bezopa...

Спасибо, теперь чуть понятнее. Хотя в целом-то и так было понятно, что что-то такое должно быть.

Динамический анализатор Crusher дает возможность автоматически генерировать наборы входных данных программы, чтобы проверить ее устойчивость к обработке данных, не соответствующих ожидаемому формату. Crusher автоматически регистрирует ошибки времени исполнения, приводящие к аварийному завершению программы.

AFL после процесса ребрендинга?