LINUX.ORG.RU

Уязвимости в ядре Linux и нужно ли их хранить в тайне

 , ,


0

0

После анонса 2.6.25.10 релиза стабильной версии ядра, Greg Kroah-Hartman в сопроводительном тексте обратил внимание (http://lkml.org/lkml/2008/7/3/40) на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связана с устранением многочисленных уязвимостей, стало известно только спустя неделю, после публикации отчетов (http://secunia.com/advisories/31048/) о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил (http://kerneltrap.org/Linux/Security_...) продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка (http://kerneltrap.org/node/4540). Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Это уязвимости венды надо хранить в тайне, чтобы она оставалась тем, чем назвал ее Тео.

emaxx ★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

[гармошко]

Evil_Wizard ★★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

не раньше чем "подружат" новое ядро с LILO. с LVM2 и без.

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

А как Вам это (http://article.gmane.org/gmane.linux.kernel/706950):

Security people are often the black-and-white kind of people that I can't stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.

Ну что теперь скажите?

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>А оно не дружит? И если да то по какую версию включительно? А то я тут апдейт задумал и было бы мне счастье...

У меня 2.25 не работает. 2.26 не порбовал.

PS Я другой анонимус

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

решето

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>I think the OpenBSD crowd is a bunch of masturbating monkeys

Линус совсем охренел! его мнению получаются, что люди которые беспокоятся о надёжности и безопасности, это мастурбирующие обезьяны! Тоже наверное он и о нас с вами думает!

УХОЖУ НА BSD!

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Линус, как всегда прав и видит, как хороший руководитель успешного проекта, главное (разработка и доводка ядра), а ему советуют заниматься второстепенными делами, после чего он справедливо посылает тех советчиков.

record ★★★★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

начиная с 2.6.25 любых(!!) см диспуты и попытки выпихнуть в "deprecated" LILO(к счастью - пока не ...)

p.s. я тот ананимус :)

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>что пользователи должны обязательно обновить ядро, не уточнив при этом причину

О чём это? До этого, что? Уточняли причину? "Уважаемые девелоперы! Я пропатчил ядро ибо вышла новая версия!". Или я что-то не понимаю?

AntiWindows ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>Линус, как всегда прав и видит, как хороший руководитель успешного проекта, главное (разработка и доводка ядра), а ему советуют заниматься второстепенными делами, после чего он справедливо посылает тех советчиков.

И получится новый Windows! Ты этого хотел? Там тоже нельзя советовать!

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Линус хреновый менеджер и скверный евангелист. попробуй он сказать в адресс ветеранов войны в Заливе или Японской, что они "mastrubating on their guns" - ему бы быстро обьяснили. те демагогия и "передергивания" - занимают место аргументов, по исчерпании таковых.

p.s. "лучший способ убить Идею - ВЫСМЕЯТЬ ее" (c) Рокфеллер, 1912 год.

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Ждём разумных комментариев Тео и песни и комикса OpenBSD 4.4 :) Чувствую, они там оторвутся :)

GFORGX ★★☆ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

"исправление обычных ошибок является более важной задачей"

imho, это правильно.И у него свои приоритеты.

Кому хочется других, "секюрити" фиков, тем можно коммитить патчи. Какие проблемы?

record ★★★★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

нуда, Линус - Пиарит "несекьюрный компьютинг" или пытается "прикрыть свою попу". как ко-координатора. те в штиле USSR "сегодня в секьюрности(мясе)потребности - НЕТУ" "есть мне еще чем заняться, помимо ... список на 3 листа А4, характеризующий его ОБЯЗАННОСТИ в рамках статуса"

p.s. просто зависть ? но тогда бы он столь "художественно" не пытался бы желаемое с действительным - местами махнуть. похоже, Линус - просто казачок БГ.

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Всё правильно Вождь/БОГ Линус говорит. Ошибки безопасности просто надо исправлять, и ядро почаще апдейтить... :)

fpga ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Те, кому нужна безопасность на Linux, используют Debian stable с 2.6.18) Последние ванильные на сервера обычно не ставят. Чего раскричались-то?

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

> Ну что теперь скажите?

Скажем, что он прав.

:

one reason I refuse to bother with the whole security circus is that I think it glorifies - and thus encourages - the wrong behavior.

It makes "heroes" out of security people, as if the people who don't just fix normal bugs aren't as important.

In fact, all the boring normal bugs are _way_ more important, just because there's a lot more of them. I don't think some spectacular security hole should be glorified or cared about as being any more "special" than a random spectacular crash due to bad locking.

...

To me, security is important. But it's no less important than everything *else* that is also important!

LamerOk ★★★★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Я все думал, кто первый про masturbating monkeys выскажется :)

В основном шумиха вокруг этой фразы крутиться вокруг тех, кто английский понимает только со словарем :) Вот комментарий носителя языка:

they are saying that if a crowd of monkeys were masturbating they would not care what else is happening around them they would only care about masturbating

so the open bsd guys are being compaired to masterbating monkeys because like monkeys they dont care what is happening around them all that matters is what they are doing or care about

Ну, что ТЕПЕРЬ скажите ?

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

А зачем OpenBSD-шникам делать что-то кроме безопасной ОС? Десктоп им нафиг не нужен, с устройствами, в принципе, всё в порядке, причём с этим они справляются сами - а не подписывают NDA, как делают разработчики до ужаса коммерциализированного Линукса.

GFORGX ★★☆ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

> А зачем OpenBSD-шникам делать что-то кроме безопасной ОС?

Ага, поэтому в итоге их ОС работает максимум как роутер с firewall и не более того.

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

> Ага, поэтому в итоге их ОС работает максимум как роутер с firewall и не более того.

А ты не осилил, что им большего и не надо, не?

GFORGX ★★☆ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

давайте не забывать откуда взялась в Linux, Нормальная сеть. в 2.2.xx-ядрах. из BSD и взялась. остальное - тоже не на деревьях росло.

Линус против "Героизации" тех кто занят исследованиями и разработками решений в области IT-Безопасности. с тех пор, как поработал в Transmeta. а это, предположительно может означать - массу интересных вещей. так СИЛЬНО И ГРОМКО он давно не кричал :)) видать задело ;)

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>OpenBSD не нужна (c) Linus

ИМХО то что действительно не нужно так это вантуз (виндовс) во всех его проявлениях. Всякие *BSD и Linux и прочие - есть уже хорошо в принципе, изначально :)

fpga ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>И получится новый Windows! Ты этого хотел? Там тоже нельзя советовать!

Конечно. Стоит только проекту дорасти до достаточно крупных размеров, как накапливается слишком много проблем, которые удается разрулить в угоду всем. И так начинается диктатура одного. В MS это поняли сразу, а в Linux, похоже, до конца не верили в такой поворот событий.

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Линус +1. Беспесды.

cathode ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

угу, "осокрбительное и унизительное"(c), цынично-хамское высказывание человека, вконец "освиневшего"(потерявшего человеческий облик) на своем "Олимпе".

p.s. угу, пока пол не сменит - без.

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

А ещё мечтают о новой моделе нумерации ядра. Ясно, что для отвода глаз от других проблем.

anonymous ()
Ответ на: Re: от anonymous

Re:

>а линуксу - на всё, включая безопасность.

Fixed.

redgremlin ★★★★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

неправильно поступили, нужно сообщать о наличии уязвимостей обязательно, а не ограничиваться намеками, вот детали и PoC код можно временно не раскрывать, хотя кому надо - сами найдут что и как.

Sylvia ★★★★★ ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

ЕДА!

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

> начиная с 2.6.25 любых(!!) см диспуты и попытки выпихнуть в "deprecated" LILO(к счастью - пока не ...)

Ужасс!!! LILO наше всё. Руки прочь от LILO!

PS: Машины с LILO -- лиловые, машины с GRUB -- ?? :)

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

Нафиг ядру такой "символ", позволяющий себе такие высказывания. Хуже троллей ЛОРовских прямо.

anonymousI ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>Нафиг ядру такой "символ", позволяющий себе такие высказывания. Хуже троллей ЛОРовских прямо.

Он думает что без него ядро не будет дальше разрабатываться! ЛИНУС ТОРВАЛЬДС ЗАЖРАЛСЯ! В ТОПКУ ЕГО!

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

> "исправление обычных ошибок является более важной задачей"

В таком случае, с таким подходом, линуксу на сервере делать нечего!

anonymous ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>неправильно поступили, нужно сообщать о наличии уязвимостей обязательно, а не ограничиваться намеками, вот детали и PoC код можно временно не раскрывать, хотя кому надо - сами найдут что и как.

Соглашусь... Действительно, не надо раскрывать детали уязвимости, но надо сообщать что необходимо обновиться как можно скорее.

fpga ()

Re: Уязвимости в ядре Linux и нужно ли их хранить в тайне

>В таком случае, с таким подходом, линуксу на сервере делать нечего!

И рынок сеерверов займёт... minix 3! Во Таненбаум обрадуется!

:)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.