Найдено около 1200 уязвимостей в debian.

5% пакетов с ошибками - весьма неплохой результат. Если мне не изменяет память, то у Fedora 10% или 13% пакетов с ошибками. В случае арча подозреваю еще больший процент.

Ты же в курсе, что в дебиане ядро 3.2.0 на самом деле соответствует не 3.2.0 с кернел.орг?

5% пакетов с ошибками - весьма неплохой результат. Если мне не изменяет память, то у Fedora 10% или 13% пакетов с ошибками. В случае арча подозреваю еще больший процент.

откуда данные что у федоры столько ошибок?

Ты же в курсе, что в дебиане ядро 3.2.0 на самом деле соответствует не 3.2.0 с кернел.орг?

А ты же в курсе, что SlowwwwwBian слоупочит?

Хрен знает чему оно соответствует. Или ты думаешь что боги кода в дебиане бэкпортируют с недостижимым для плебсо-разрабов ваниллы качеством?

Илитка ставит распоследнее сразу из печки? :}

Толсто.

Илитка ставит распоследнее сразу из печки? :}

А что умвр и я не жалуюсь.

Дуршлаг!

интересно, если ты сможешь ронять мой google-chrome, как только я зайду на твой быдлосайт с твоим быдлокодом, то чем тебе это поможет в твоей никчёмной жизни?

если есть переполнение буфера, то при надобности можно потратить ресурсы на превращение этой уязвимости в исполнение кода.

В Squeeze ничуть не лучше. Большинство перечисленного — проблемы апстрима, а не дебиана.

Созвездие троллиона;)

скажу больше, что crash в случае возможности повреждения пользовательских данных или возникновения потенциальной уязвимости(и невозможности это обработать) - это именно правильное средство завершения программы с наименьшими потерями для конечного пользователя. в т.ч. и в области безопасности.

Какая чепуха

Можно ссылку, где ты вычитал про потенциальные ошибки? Я смотрю, они там core dump прикладывать собрались, бектрейс gdb. В этой связи вообще непонятно, нафига ты свой пример с минус первым элементом массива написал. Если в программу можно передать данные, которые вызовут ее падение - это серьезная проблема.

Ну что тут скажешь, ждем очередную 0-day уязвимость (или уязвимости).

Для тупых повторю:
«На три порядка - это 1200000. В дебиане каков размер пакетной базы?»
Впрочем для вас это бесполезно, вы же все равно читать не умеете.

Если у тебя ПМС, это не значит, что окружающие не умеют читать или считать, это значит лишь то, что у тебя ПМС.

Если у тебя ПМС, это не значит, что окружающие не умеют читать или считать, это значит лишь то, что у тебя ПМС.

Если бы вы умели читать, то тупого вопроса не задали бы.

Если бы вы умели читать, то тупого вопроса не задали бы.

А я вот считаю тупым вопрос о размере пакетной базы и лишь намекнул на это. Но 5 звёздочек это 5 звёздочек, выходит ты прав и с этим ни чего не поделаешь.

Эти «просто факапы» могут иметь и очень серьезные последствия, если ПО выполняет очень серьезную работу

Тем не менее, это не уязвимость в ПО. Это недоработка, если ПО - критически важное, то это критическая недоработка и она должна быть исправлена. Но, повторюсь, это не имеет никакого отношения к безопасности самого ПО.

Если же она (точнее, программист) надеется на авось, то программа в лучшем случае будет завершена по сигналу операционной системой — что говорит об ошибке в программе.

Необработанные исключения в самой программе - это безусловно плохо, тут я и не собирался спорить.

Да пока что слоупочит в треде не дебиан.

интересно, если ты сможешь ронять мой google-chrome, как только я зайду на твой быдлосайт с твоим быдлокодом, то чем тебе это поможет в твоей никчёмной жизни?

если есть переполнение буфера, то при надобности можно потратить ресурсы на превращение этой уязвимости в исполнение кода.

нет, мы о том, что хром просто падает, без переполнения буфера. Или с таким переполнением, которое _всегда_ вызывает сегфолт(например буфер становится размером 100500Гб, либо выполняется команда, которой нет, либо выполняется деление на ноль, либо…)

Можно ссылку, где ты вычитал про потенциальные ошибки? Я смотрю, они там core dump прикладывать собрались, бектрейс gdb.

ну вот как приложат, так и посмотрим. А пока это всё вилами по воде.

Тем не менее, это не уязвимость в ПО. Это недоработка, если ПО - критически важное, то это критическая недоработка и она должна быть исправлена. Но, повторюсь, это не имеет никакого отношения к безопасности самого ПО.

люто, бешено плюсую.

не уязвимостей, а ошибок!

+100500

// привет, дружище)

А ты юморист.

Тем не менее, это не уязвимость в ПО.
Это недоработка, если ПО - критически
важное, то это критическая недоработка
и она должна быть исправлена. Но,
повторюсь, это не имеет никакого
отношения к безопасности самого ПО.

Я придерживаюсь лексического значения слова «уязвимость». Возможность уронить ПО внешними раздражителям-- уязвимость. Это следует из значения слова.

Возможность уронить ПО внешними раздражителям-- уязвимость.

В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность _и_ вызвать неправильную работу.

не благодари

В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность _и_ вызвать неправильную работу.

И что, по твоему креши не являются неправильной работой?

И что, по твоему креши не являются неправильной работой?

ВНЕЗАПНО креши далеко не всегда нарушают целостность системы.

ВНЕЗАПНО креши далеко не всегда нарушают целостность системы.

Прекрати шланговать как drBatty, в твоей цитате говорилось ещё и о неправильной работе. Ещё раз спрашиваю, является ли крэш неправильной работой?

А ты же в курсе, что SlowwwwwBian слоупочит?

А ты в курсе, что из всех существующих на данный момент LTS-версий ядра именно 3.2 будет поддерживаться дольше всех?

Прекрати шланговать как drBatty, в твоей цитате говорилось ещё и о неправильной работе

ты значение союза «и» знаешь?

Он там ни к месту употреблен, там должен быть «или». Мне непонятно почему должны быть соблюдены оба условия. То есть если вызвать только неправильную работу, то это якобы не уязвимость? Бред же.

Он там ни к месту употреблен

«ага, конечно»

Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw

а тут что не к месту?

Мне непонятно

это объясняет практически всё

Ааа, ну тогда понятно :)

Неудивительно - ведь в дебиане пакеты древние как мир.

Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw а тут что не к месту?

Здесь всё к месту и не противоречит моим словам. Давай я тебе переведу этот текст, раз ты такой неуч. Уязвимость это пересечение трех вещей: чувствительности системы или трещины (дыра, ошибка), доступа атакующего к ней и возможности у атакующего её эксплуатировать.

и возможности у атакующего её эксплуатировать.

с этого места поподробнее. Проэксплуатируй мне сегфолт в пасьянсе

с этого места поподробнее. Проэксплуатируй мне сегфолт в пасьянсе

А он разве уязвим? У меня нет информации о возможностях его уронить. Да и самой венды у меня нет. Дай что нибудь подоступнее.

А он разве уязвим?

Не знаю. Представь, что уязвим. Как ты _проэксплуатируешь_ уязвимость?

btw, в ballz (тоже игра, если что) точно есть «уязвимость» по твоей терминологии (crash по терминологии mayhem). Покажи, как эту уязвимость эксплуатировать. Не стесняйся, жги напалмом.

Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

Пишут. Но проверка наличие файла и последующее открытие — не атомарные операции, а значит, что после проверки наличия файла CPU может переключится на другой процесс, который удалит файл, далее переключаемся назад на наш процесс — и бац!

Покажи, как эту уязвимость эксплуатировать. Не стесняйся, жги напалмом.

Собственно вызов злоумышленником сегфолта это эксплуатация. Игрушка то для него интереса не представляет. А вот если можно было бы таким образом уронить что нибудь посерьезнее, другое дело. Например роняем сервер интернет-магазина и владелец несет несет убытки. Чем не эксплуатация?

Или вон некоторые вирусы роняли антивирус. Тоже эксплуатировали.

Собственно вызов злоумышленником сегфолта это эксплуатация. Игрушка то для него интереса не представляет.

не увиливай. Это ты заявил, что креш - то уязвимость. Вот я тебя и прошу - продемонстрировать мне эксплуатацию уязвимости в ballz

А вот если можно было бы таким образом уронить что нибудь посерьезнее, другое дело.

а, до тебя таки дошло, почему не всякий креш == уязвимость? )

Это ты заявил, что креш - то уязвимость. Вот я тебя и прошу - продемонстрировать мне эксплуатацию уязвимости в ballz

Я выше уже сказал что вызов злоумышленником крэша это уже эксплуатация уязвимости.

а, до тебя таки дошло, почему не всякий креш == уязвимость? )

Всякий, просто не всякая уязвимость может иметь серьезные последствия и не всякая уязвимость представляет интерес для злоумышленника. Это и так должно быть очевидно.

Я выше уже сказал что вызов злоумышленником крэша это уже эксплуатация уязвимости.

facepalm.jpg

сел ты за чужой комп, запустил ballz, понажимал кнопочки - ballz хряпнулись. Чего ты этим добился? Проэкспулатировал уязвимость? И где собсно результат эксплуатации?

Всякий

какая каша в голове. Скажи, а стандартный способ уронить приложение - это уязвимость или нет?

Ну ты и дебилушка, про return -1; стало быть не слышал? Segfault - это вообще-то segmentation fault.

facepalm.jpg

Что не так? Возможность вызвать крэш — уязвимость. Вызов злоумышленником крэша — эксплуатация уязвимости.

сел ты за чужой комп, запустил ballz, понажимал кнопочки - ballz хряпнулись. Чего ты этим добился? Проэкспулатировал уязвимость? И где собсно результат эксплуатации?

Прекрати шланговать как drBatty. Результат эксплуатации — он упал. Я знал что эти действия приведут к этому, потому что мне была известна эта уязвимость и я ей воспользовался (эксплуатировал).

Скажи, а стандартный способ уронить приложение - это уязвимость или нет?

Что за ерунду ты несешь, какой ещё стандартный способ уронить может быть? :D

А я вот считаю тупым вопрос о размере пакетной базы и лишь намекнул на это. Но 5 звёздочек это 5 звёздочек, выходит ты прав и с этим ни чего не поделаешь.

Вопрос о размере пакетной базы был задан в контексте «несколько порядков» тому, кто вероятно порядки с разами путает. Но вы решили вставить свои пять копеек, не потрудившись почитать ветку.