Статистика по уязвимостям ядер Linux 2.6.x за последние 1.5 года

Я почемуто сразу и подумал что график такой будет. Сначала никто не понял где дырки искать(начало), потом понял(середина), потом их начали исправлять (спад).

Надо отметить, что довольно интересная статистика - большинство дыр - локальные DoS средней критичности. Что не может не радовать.

мне всегда было любопытно, почему релизы ядер linux выходят так часто ? Ведь можно патчи выпускать до тех пор пока тщательно все исходники не перепроверят, к тому же куда торопиться, если ядра выходят бесплатно..

Для сравнения:

Win2003: http://secunia.com/product/1174/

В-общем, окинув взглядом графики для линуха (кстати, заодно посмотрите и на 2.4, как на стабильную, "консервативную" ветку) и винды и сравнив, вынужден заключить: появившиеся в последнее время многочисленные утверждения, о том что дескать безопасность винды ничуть не хуже - мягко говоря, не соответствуют действительности.

не так уж и плохо...

могло быть и хуже

здесь тоже интересно, для FreeBSD 5.x
http://secunia.com/product/1132/

Ну, пятерка пока еще не STABLE, так что ее бы я трогать не стал... но вот что пугает - у четверки тоже картина не самая радостная. Правда, с поправкой на то, что графики для линуха - это _только ядро_, а для *BSD - весь base system. Посмотрите на список: там фигурируют cvs, sendmail, bind, openssh, samba...

:) FreeBSD по этой статистике уступает Windows ?!

Кстати, судя по их графикам, самый надежный дистр - Slackware... =)

> :) FreeBSD по этой статистике уступает Windows ?!

Нее... винду с 39% high risk трудно обскакать =)

> Кстати, судя по их графикам, самый надежный дистр - Slackware... =)

не шуми, а то ща всю новость грохнут %)

какие подьёмы-спады, там 15 дырок в сумме всего!

Ну да, слэкварь довольно консервативна в том смысле, что строго блюдёт
правило "бритвы Оккама", и это с лихвой окупается повышенной надёжностью
и меньшим количеством дыр и просто багов. В любой момент можно ставить
slackware-current без опаски. Ни один другой дистр таким качеством
похвалиться не может.

> не шуми, а то ща всю новость грохнут %)

Вообще надо бы. Как флеймообразующую и в целом бестолковую.

> Кстати, судя по их графикам, самый надежный дистр - Slackware... =)

казалось бы а причём тут Шлакварь?... :-D

>Secunia currently has 15 Secunia advisories affecting Linux Kernel 2.6.x. All Secunia advisories affecting Linux Kernel 2.6.x are listed at the bottom of this page. Below, you will find statistics based on the released Secunia advisories since 2003.

Какая же это статистика, если рассматривалось всего 15 прецедентов?!

2 случая - это уже статистика. А тут ЦЕЛЫХ 15!

Лучше пусть выпускают ядра. Ты номера версий, что ли, экономишь?

Вспомни 2.4.20 - там был патч на ext3 и не помню на что еще два патча.

Предлагаешь качать ядро, потом искать тонну патчей и еще и их накладывать? Времени слишком много уйдет. Выпуск новой версии ядра от этого избавляет.

Некорректно сравнивать статистику по ЯДРУ linux-2.6 и OS Windows. Необходимо сравнивать с дистрибутивом: например http://secunia.com/product/2536/ Тогда статистика не кажется такой обнадеживающей :(

>> Некорректно сравнивать статистику по ЯДРУ linux-2.6 и OS Windows. Необходимо сравнивать с дистрибутивом: например http://secunia.com/product/2536/ Тогда статистика не кажется такой обнадеживающей :(

Тоже не корректно. У Линуха и Фрюхи в дистре намноог более чем в винде...

Конечно нужно сравнивать с точки зрения безопасности ядро windows с дистрибутивом Linux (c офисом, всеми WM и т.д.), а еще лучше сразу просумировать дыры во всех популярных дистрибутивах Linux.

номера не жалко :)
просто бросается в глаза постонные уязвимости в ядрах линукс по сравнению с ситемами BSD, я не думаю что разработчики линукс менее сообразительны, однако ядра выходят каждый месяц , а еще через месяц надо уже патчи ставить по безопасности...

ну я вам праздник то испорчу :)

RedHat Enterprise Linux WS 3 - 48 уязвимостей с ноября 2003
Microsoft Windows Server 2003 Enterprise Edition - 23 с июня 2003
FreeBSD 4.x - 32 с января 2003

что характерно, у фбсд 4.x даже считая 2002 год уязвимостей меньше (40) чем у редхата за полгода :)

Нужно учесть, что в Linux статистики за 2003 год просто нет. Далее, глядя на график для Windows за 2004 год, можно с увереностью сказать, что Linux перегоняет (в плохом смысле этого слова) Windows на голову.

А теперь сохраним тенденцию для Linux и сразу становиться ясно - еще все впереди :)

если посмотреть на даты выхода релизов, то совсем не страшно. а вот то, что 2.6 было объявлено стабильным только для того, чтобы его народ тестить начал - это факт. хотя эти vs не совсем корректны еще по одной причине - 2.6 всего полгода как "стабильное" :)

> Нужно учесть, что в Linux статистики за 2003 год просто нет. Далее, глядя на график для Windows за 2004 год, можно с увереностью сказать, что Linux перегоняет (в плохом смысле этого слова) Windows на голову.

> А теперь сохраним тенденцию для Linux и сразу становиться ясно - еще все впереди :)

Глупое сравнение. На Linux сырцы и ядра, и всех сетевых сервисов можно посмотреть, и найти дыры - не обязательно, что их кто-то в жизни уже использовал. А с Windows такое уже не пройдет.

Вспомнить например дыру с ошибкой в обработчике исключения с FPU - такой глюк так просто не найдешь, а под Windows если и есть нечто подобное - как ты определишь, что это за глюк - или действительно глюк, или просто винда по ходу жизни проглючила, и с чем этот глюк связан?

IMHO, пока Windows исходники все закрыты, про сравнение её дырявости с Linux некорректно говорить...

> RedHat Enterprise Linux WS 3 - 48 уязвимостей с ноября 2003

А вы смотрели, какие это уязвимости? Да там бОльшая часть относится к OpenOffice, KDE, Gnome, Mozilla, Mutt и прочим пользовательским приложениям. В Windows подобные уязвимости просто никто не считает :)

> что характерно, у фбсд 4.x даже считая 2002 год уязвимостей меньше (40) чем у редхата за полгода :)

Опять же, врёте! Посмотрите на advisories и увидите, что для FreeBSD уязвимости в подобном софте не считали.

> 2 случая - это уже статистика. А тут ЦЕЛЫХ 15!

У вас, наверное, какая-то своя, вами выдуманная статистика. А в мат. статистике для начала надо хотя бы определить понятие выборки. А в случае с уязвимостями в ОС вы ну никак не определите, что считать выборкой.

> У вас, наверное, какая-то своя, вами выдуманная статистика. А в мат. статистике для начала надо хотя бы определить понятие выборки. А в случае с уязвимостями в ОС вы ну никак не определите, что считать выборкой.

Есть ложь, наглая ложь, и статистика - ты предлагаешь какой вариант? По ссылке все корректно...

Радует меня такая статистика...
Народ исправляет ошибки, коих весьма немного.
M$ манагеры нервно курят в сторонке

> Есть ложь, наглая ложь, и статистика - ты предлагаешь какой вариант?

А что, больше ничего нет? :)

> По ссылке все корректно...

А там тоже какая-то своя статистика :-)

Я хотел сказать всего лишь, что _математическая_ статистика начинается там, где явления воспроизводимы. А тут, на мой взгляд, никакой воспроизводимости нет: никто уже не будет разрабатывать аналогичные ОС, начиная с тех же исходных позиций (под позициями я имею ввиду уровень развития Computer Science, IT-технологий, IT-специалистов, железа наконец).

P.S. По этой же причине серьёзные специалисты по мат. статистике очень скептически относятся к попыткам её применения в макроэкономике.

"Радует меня такая статистика...
Народ исправляет ошибки, коих весьма немного.
M$ манагеры нервно курят в сторонке"

http://secunia.com/product/344
Всякие левые поделки нервно сосут в сторонке

> Опять же, врёте!
сынок, сходи в школу, подучи арифметику :)
а претензии по качеству подсчета направь открытым письмом на secunia.com :))

1. Статистика - это большая ложь
2. Не redhat'ом жив линукс
3. Дыр много, потому что ищут

3. Дыр много, потому что ищут

Дыр много потому что их много.

>Дыр много потому что их много.

а узнаешь ты о них, потому что их ищут

а узнаешь ты о них, потому что их ищут

Это философский вопрос. Я могу о них не знать, но их все равно много, потому что их много. Но ни как потому что их ищут. Можно искать и не найти ничего. ;)

> У вас, наверное, какая-то своя, вами выдуманная статистика.

Я плевать хотел на мат. Любая статистика начинается с двух
случаев/предметов/явлений. Это просто минимальное требование.

> 1. Статистика - это большая ложь
хуже :)

>Некорректно сравнивать статистику по ЯДРУ linux-2.6 и OS Windows.

Можно ввести понятие "удельной уязвляемости" как количество критических ошибок на единицу объема кода (килобайт, например) и сравнить отдельно по системе и прикладному ПО. Mozilla по отношению к линуксу и Outlook Express к виндовсу - явно прикладные, и несмотря на то, что они входят в дистрибутивы систем, считать их нужно одельно.

Думаю, тогда цифры будут совсем другие :)

>Я плевать хотел на мат. Любая статистика начинается с двух
>случаев/предметов/явлений. Это просто минимальное требование.
Ошибаешься ;-).

Перефразируя бородатый анекдот, вероятность взлома любой системы в данный момент времени равна 50% - либо ее сломают, либо нет =)

> сынок, сходи в школу, подучи арифметику :)

Я вам не сынок. А арифметика у меня уже в крови за 5 лет мехмата.

Я тебе больше скажу - математика тоже начинает работать начиная с числа 2 ;)
Никогда не приходило в голову?

особенно круто, что лялих теперь валится от TCP запросов

>Я вам не сынок. А арифметика у меня уже в крови за 5 лет мехмата.

а ты из вундеркиндов штоль - минуя школу сразу на мехмат? арифметику все таки в школе нужно было учить :)

> а ты из вундеркиндов штоль - минуя школу сразу на мехмат? арифметику все таки в школе нужно было учить :)

Ну вы её в школе, видимо, не выучили! :-P

Так какой делаем вывод? То ли вы в школе рас...ничали, то ли её учат не в школе :-)

Сам ты валишься от ICMP replies

а вы посматрите какая супернадежная система http://secunia.com/product/393/ бегом все на нее,

а если серьезно, меряют какуюто чепуху без оглядки