Наверняка все баги в оставшихся 25%.. просто мантейнеры проверили, сказали годно и взяли)

Наверняка

Нутыпонел. Пока ты не приведёшь достоверную выборку полезных патчей, которые вносят убунтушники, тебе не избавиться от репутации фанатика, незнакомого с теорвером.

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее.

Угу, школьники клепают пкгбилды и сырцы часто берут прямо из основного дерева, а значит количество ошибок и сегфолтов стабильно выше.

Ну большинство это не смущает, мне-то уж подавно не стоит переживать)

«Разрушители легенд», чо! :)

Побольше бы таких исследователей, а то закормили пингвофилов байками столетней давности, а те ещё лет 50 повторять будут, пока их носом не тыкнут!
Софт - очень сложная отрасль, чтобы «на веру» воспринимать любые высказывания.

Всегда стоит. Админ может изменить права на каталог, а привилегированный пользователь этим воспользоваться. Трай-эксцептов много не бывает. А есть ещё бэдблоки и прочие непредвиденные катаклизмы. Плох тот программист, который при написании программы не учитывает вероятность потопа (с).

В арче софт обновляется оперативней

Согласен, но есть море дырок, которые кочуют из версии в версию годами. Никто же не полезет проверять ls! Это скучно не только как действие проверки, но и сама утилита - унылость. Так что автоматические тестеры сорсов - обязательная процедура для любого дистра. Не обязательно всё фиксить сразу, но обязательно занести их все в единый реестр, чтобы те, кому скучно, могли потихоньку вычищать код.

(хотя может быть полезно для убивания серваков конкурентов)

это если уязвимости не локальные.

Тоже мне новость. icculus рассказывал как вместе с другими разработчиками гордился кодом SDL. А потом прогнали clang'ом статистический анализ - полсотни необнаруженных багов. Идеальный код никто не пишет.

К Дебиан это имеет отношение ровно столько же, сколько и к прочим дистрибутивам.

Новость вообще не содержит никакого сравнения

Но своя-то голова у нас есть!

Моя голова говорит мне, что сравнивать можно две фактические цифры, а не фактическую цифру со своими домыслами, нэ?

Увы, речь действительно об уязвимостях (исполнении произвольного кода с привелегиями запущенного процесса). Естественно, они имеют смысл только для suid-ных бинарников.

Вот он ваш штабильный дебиан.

Софт - очень сложная отрасль, чтобы «на веру» воспринимать любые высказывания

Поэтому ты принял на веру пересказ того, что сказали какие-то исследователи.

Надо Дебаен закрыть еще на год-полтора, не все еще патчи написаны!

От того, крашится она или нет, качество OS-софта не улучшается.

Молодец, а теперь пусть предоставит 1200 рабочих эксплойтов, вот тогда и поговорим.

Требуем поиск уязвимостей в других дистрах! А то сейчас дебиан хаем, а потом окажется, что в нем меньше их всего.

Очередное доказательство того, что протухшее != стабильное.

Этой автоматической системе поиска ошибок вообще можно доверять?

Вообще-то, в статье написано о крешах и багах. Далеко не каждая бага уязвимость.

Прикол. Мне б хотя бы 5 из них. Самых опасных.

Уязвимости + майнинг биткоинов... Хм =)

Crash

В оригинале используется слово «crash» — т.е. вылет, падение, а не «exception» (исключение).

Найдено около 1200 уязвимостей в debian.

А британский учёный снова изнасиловал журналиста.

Ошибки были найдены с помощью Mayhem, - автоматической системой поиска ошибок

если ты не знал, то эта система находит только _потенциальные_ ошибки. Например что-то типа

x = array[-1];

потенциально тут выход за границу массива, и соответственно UB со всеми вытекающими. Проблема в том, что array вовсе НЕ обязан являться указателем на массив. Он может быть _любым_ указателем, в т.ч. указателем на второй элемент массива. Если это так, то код становиться вполне корректным. Надо ручками проверять, подымать сырцы, смотреть, думать, прогонять тесты… Очевидно, раз аффтор говорит про 1500, то это НЕ было сделано. НИ ОДНОЙ уязвимости автор НЕ нашёл.

Ubuntu LTS > Debian

Желтизна в заголовке.

Всё-таки crash - это ошибка, приводящая к падению, а не уязвимость.

Нет, это тоже уязвимость.

не обязательно. И даже если это и уязвимость, то она вовсе не обязательно позволяет выполнять вредоносный код.

Ну что же, печально, но вполне логично. В opensource часто пишут безграмотные студенты, а ведь даже отличные программисты могут ошибаться.

И крайне печально, что количество клоунов на лоре зашкаливает - читать комментарии противно.

Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

что неправильно, ибо есть и другие ошибки, кроме ENOENT.

Мне б хотя бы 5 из них. Самых опасных.

кто мешает проверить? Есть и другой вариант: юзай Gentoo, и читай warning'и, которые сыплются. Каждый из них — потенциальная дыра.

Вот потому-то лучше сидеть на ubuntu, не то что ваш глючный дебиан

Товарищ, вам стыдно должно быть. Так сложилось, что ruby - сообщество состоит из квалифицированных айтишников, в отличие от сообществ php, java, etc, а вы вот такую чушь несёте.

И даже если это и уязвимость, то она вовсе не обязательно позволяет выполнять вредоносный код.

Если приложение можно уронить, то это тоже уязвимость.

Любимое развлечение писателей автоматических проверялок кода — проверять своими поделиями опенсорсный код и пугать всех страшными цифрами.

+1

а вот интересно, в первом посте речь о бинарниках, так что мешает проверить Windows?

Эта автоматическая система поиска ошибок к каждой найденной ошибке генерит эксплойт.

уважаемый автор перевода hope13, если вы не можете отличить crash(падение) и bug(ошибка) от security issue(уязвимости) - не переводите ничего. и, тем более, не публикуйте.

скажу больше, что crash в случае возможности повреждения пользовательских данных или возникновения потенциальной уязвимости(и невозможности это обработать) - это именно правильное средство завершения программы с наименьшими потерями для конечного пользователя. в т.ч. и в области безопасности.

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее.

новые дырки и баги появляются ещё быстрее.

Если приложение можно уронить, то это тоже уязвимость.

интересно, если ты сможешь ронять мой google-chrome, как только я зайду на твой быдлосайт с твоим быдлокодом, то чем тебе это поможет в твоей никчёмной жизни?

Значит тонко :)

Если приложение можно уронить, то это тоже уязвимость

Уронить действиями пользователя, либо удалённо? Это принципиально разные вещи.

1 ошибка на 20 пакетов - не так уж и много. Тем более, что не все эти 20000 пакетов будут установлены.

~1.2K crashes

≠

Найдено около 1200 уязвимостей

Не понимаю, почему эту желтизну подтвердили.

Разве это не проблемы ванильных программ? Причем тут дебиан.

что мифическому «простому юзеру» постоянно нужно что-то ставить из master/trunk, для чего ему жизненно необходим новый форма пакетов без зависимостей.

вот наркоманы..

Ну что же, печально

И крайне печально

количество клоунов на лоре

ага. Печально.

А если прекратить клоунаду, и включить голову? Ты хоть одну уязвимость видел? Вот когда увидишь, выкладывай имя пакета, имя файла, и номер строки. Будем печалиться. А пока — ведёшь себя как клоун.

Я сделаю твою никчемную жизнь чуточку хуже?
Вообще под определение уязвимости нарушение целостности работы. И поэтому, если твой быдлосервер на быдлослакваре упал из-за какой-нибудь быдлопрограммы, то он считается уязвимым.

не обязательно. И даже если это и уязвимость, то она вовсе не обязательно позволяет выполнять вредоносный код.

Возможность несанкционированно выполнять произвольный код это частный случай уязвимости. Простой пример. Допустим я обнаружил способ удаленно положись сайт linux.org.ru, отправив специально сформированный get запрос. Это было бы уязвимостью сайта. Мало того, это дыра. И неважно что я не могу таким образом выполнить произвольный код, возможность уронить так сервер само по себе плохо.

Аналогично с ядром или просто программой в user space. Если оно может упасть под воздействием внешних раздражителей, это тоже не что иное как дыра. А если ПО под управлением Линукс выполняет какую-то очень серьезную работу? Управляет ядерным реактором, например (Гг)? Это вам, хомячкам то пофиг, а в некоторых случаях падение в неподходящий момент может иметь серьезные последствия.

Уронить действиями пользователя, либо удалённо?

Какая разница? Ну уроню я весь твой сервак с openvz через свою vpsку на нем. Тебе легче станет?

лично тебе - подальше с ЛОРА

Интересно, а они этот свой Мэйхем самим Мэйхемом проверяли?

Я сделаю твою никчемную жизнь чуточку хуже?

ну разве что только. Но это НЕ уязвимость, а просто глюк хрома. Можно взять другой браузер и/или пойти на другой сайт.

Вообще под определение уязвимости нарушение целостности работы. И поэтому, если твой быдлосервер на быдлослакваре упал из-за какой-нибудь быдлопрограммы, то он считает уязвимым.

интересно, каким образом падающий хромой, связан с моим сервером? Даже если допустить, что я запускаю хромого на том же самом локалхосте, что и сервер.