LINUX.ORG.RU

Найдено около 1200 уязвимостей в debian.

 , ,


1

2

Наткнулся на интересное почтовое сообщение от Alexandre Rebert в рассылке Debian'а. Думаю исследование Alexandre Rebert'a даёт представление об действительном положении вещей с безопасностью программного обеспечения.

Оригинал сообщения находится по ссылке. Здесь я приведу свой, не полный, перевод:

Привет,

я занимаюсь поиском уязвимостей в программном обеспечении в Carnegie Mellon University. Моя рабочая группа нашла тысячи необработанных исключений в бинарных пакетах из репозиториев debian wheezy. Don Armstrong (owner@bugs.debian.org) посоветовал нам связаться с вами, прежде чем заполнить около 1200 отчётов об ошибках.

Ошибки были найдены с помощью Mayhem, - автоматической системой поиска ошибок, разрабатываемой в течении нескольких лет в исследовательской лаборатории David Brumley. Mayhem'ом были проверены почти все бинарные файлы (~23000) из репозитория Debian Wheezy.

Наша цель заполнить отчёты об ошибках как можно полнее. Чтобы уменьшить кол-во дубликатов, мы сообщаем только об одном необработанном исключении в каждом бинарном файле, и максимум о пяти в одном пакете. Таким образом отчёт содержит около 1200 уязвимостей.

>>> Оригинал

В оригинальном сообщении:

Reporting 1.2K crashes

Всё-таки crash - это ошибка, приводящая к падению, а не уязвимость.

Laz ★★★★★ ()

Ошибки были найдены с помощью Mayhem

Мyehem'ом были проверены

Ошибка?

ekzotech ★★★★ ()
Ответ на: комментарий от AX

Вот поэтому вменяемые люди пользуются арчем.

Потому что пакеты арча никто не проверяет на уязвимости?

anonymous ()

необработанном исключении

Но разве каждое необработанное исключение - это дыра безопасности? Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

rezedent12 ☆☆☆ ()

Может и мне скрипт с LD_PRELOAD написать, я так еще больше багов найду.

devl547 ★★★★★ ()

вот вам и фирменная «стабильность»

Deleted ()
Ответ на: комментарий от AX

Именно поэтому я до сих пор сижу на Squeeze.

Вот поэтому вменяемые люди пользуются арчем.

Перекличка птиц-наивняков открыта.

tailgunner ★★★★★ ()

В стотыщпервый раз скажу, что народ неправильно понимает «стабильность» дебиана. Это не отсутствие проблем, а замороженность API и ABI. Т.е. таким образом Дебиан пытается получить ту самую неюниксвэйную платформу, необходимость в которой (в разное время) поняли все крупные игроки OSS - Red Hat, Google, IBM, даже Canonical, различные BSD.

Кстати, пока одни делают платформу, в это-же время маргиналы повторяют друг за другом, что главное, это выбор из двух и более кандидатов, а также рассказывают басни, что мифическому «простому юзеру» постоянно нужно что-то ставить из master/trunk, для чего ему жизненно необходим новый форма пакетов без зависимостей.

plm ★★★★★ ()
Ответ на: комментарий от rezedent12

Невызываемое исключение.

Но разве каждое необработанное исключение - это дыра безопасности? Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

Удваиваю вопрос. Почему они решили, что во время работы ПО обязательно вызываются все исключения?

Camel ★★★★★ ()
Ответ на: комментарий от AX

Вот поэтому вменяемые люди пользуются арчем.

Разумеется, указанные 1200 ошибок были добавлена мейтейнерами debian-а, а в других дистрибутивах ошибки не ищут ничего подобного нет.

Dobriy_i_Prostoy ()

Любимое развлечение писателей автоматических проверялок кода — проверять своими поделиями опенсорсный код и пугать всех страшными цифрами.

MrClon ★★★★★ ()
Ответ на: комментарий от Dobriy_i_Prostoy

а в других дистрибутивах ничего подобного нет.

В других дистрибутивах это ПО могло уже сменить десяток версий, в которых эти ошибки были исправлены и добавлены новые.

Psych218 ★★★★★ ()
Ответ на: комментарий от special-k

Вот потому-то лучше сидеть на ubuntu.

Патамушта ее не проверяют. А то, что быги не будут исправлены до следующей синхронизации с Дебианом... всё равно Убунта лучше!!!1

tailgunner ★★★★★ ()
Ответ на: комментарий от Dobriy_i_Prostoy

Разумеется, указанные 1200 ошибок были добавлена мейтейнерами debian-а, а в других дистрибутивах ошибки не ищут ничего подобного нет.

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее. Плюс там меньше шансов нарваться на дистроспецифичный баг из-за мейнтейнерских патчей,

AX ★★★★★ ()
Ответ на: комментарий от plm

Это не отсутствие проблем, а замороженность API и ABI. Т.е. таким образом Дебиан пытается получить ту самую неюниксвэйную платформу

Без возможности к тому же ставить новый софт - не нужно, т.е. логично делать отдельную песочницу для нового софта. Иначе только RR помогает.

iVS ★★★★★ ()
Ответ на: комментарий от AX

Новость вообще не содержит никакого сравнения с debian-а с каким-то другим дистрибутивом. Тот, кто сделал на основе этих данных какой-то вывод по поводу того, что дебиан хуже или лучше, чем арч или какой-то другой дистрибутив, фанатик и неадекват. </thead>

Dobriy_i_Prostoy ()
Ответ на: комментарий от MrClon

Mayhem и в самом деле страшненький - он генерит на каждую найденную уязвимость работающий эксплойт (если авторы не лгут). 1200 эксплойтов - это страшно.

anonymous ()

Нормально

Это абсолютно нормально. Просто они не смотрели сколько crash в пакетах других дистрибутивов. Я думаю их на порядок больше. Стабильность в ПО есть явление относительное. Стабильное API/ABI, пакеты относительно других дистрибутивов.

anonymous ()
Ответ на: комментарий от Dobriy_i_Prostoy

Кстати говоря, если эта утилита проверяет бинарные файлы, реквестирую проверку файлов винды.

[fat]У них не хватит дискового пространства, чтобы все отчёты об ошибках сохранить[/fat]

Psych218 ★★★★★ ()
Ответ на: комментарий от AX

Но своя-то голова у нас есть!

Если ты считаешь, что можно сравнить два дистрибутива на основании данных проверки одного из них, у меня для тебя плохие новости.

Dobriy_i_Prostoy ()
Ответ на: Невызываемое исключение. от Camel

Но вспомнив свою последнюю писанину, я подумал о том что не сделал процедуру проверки прав доступа перед каждым обращением к файлу. Хотя все файлы данных создаются исключительно самой программой и хранятся в домашнем каталоге. Стоит ли писать обработку исключений?

rezedent12 ☆☆☆ ()
Ответ на: комментарий от smilessss

кто там говорил, что в новых пакетах их больше ?

А кто говорил, что меньше?

eugeno ★★★★★ ()
Ответ на: комментарий от firestarter

Нет, это тоже уязвимость.

Уязвимостью пользуются мошенники для извлечения выгоды (напрм. украсть учетку). А это ошибка, максимум что она может-спровоцировать падение (хотя может быть полезно для убивания серваков конкурентов)

farzeet ★★ ()
Ответ на: комментарий от iVS

Это для предприятий, использующих кастомный и, как правило, самописный софт в техпроцессе, так что засунь свое ненужно себе в ненужно.

d_a ★★★★★ ()

Кстати, если посмотреть список, то там с четверть (на глаз, не считал) уязвимых приложений — игры, bsnes, billard-gl и т.д. и т.п.

Psych218 ★★★★★ ()
Ответ на: комментарий от special-k

Вот потому-то лучше сидеть на ubuntu, не то что ваш глючный дебиан.

Давай, расскажи нам, как крутые мейнтейнеры убунты пишут патчи, а дебианщики курят в сторонке. OH SHI—.

eugeno ★★★★★ ()
Ответ на: комментарий от farzeet

Уязвимостью пользуются мошенники для извлечения выгоды (напрм. украсть учетку). А это ошибка, максимум что она может-спровоцировать падение (хотя может быть полезно для убивания серваков конкурентов)

Уязвимость это уязвимость. Посмотри значение слова в словаре что ли. Вот ты уязвим. Но вот если бы в тебя стреляли из пулемёта, а тебе всё ни по чём, ты был бы неуязвим.

Да и вообще, неоднократно встречал использование выражения security issue в отношении любых багов, вызывающих креш, а не только к дырам.

firestarter ★★★☆ ()
Последнее исправление: firestarter (всего исправлений: 1)
Ответ на: комментарий от Reset

бугога, и эти люди потом смеют говорить и «стабильности»

Интересно, они серьезно или просто так тупо тролят?

firestarter ★★★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.