LINUX.ORG.RU

Безопасность операционных систем. Итоги года.


0

0

Заканчивается 2004 год. Предлагается обзор операционных систем по их безопасности за уходящий год. Статистика взята с сайта http://secunia.com. В обзоре участвуют:

Linux-2.4.x => http://secunia.com/product/763/?perio...
Linux-2.6.x => http://secunia.com/product/2719/?peri...
FreeBSD 4.x => http://secunia.com/product/139/?perio...
FreeBSD 5.x => http://secunia.com/product/1132/?peri...
NetBSD 1.x => http://secunia.com/product/255/?perio...
OpenBSD 3.x => http://secunia.com/product/100/?perio...

Среди представленных критериев выбраны следующие:

o Advisories (количество учтенных уязвимостей)
Меньше всего уязвимостей обнаружено в релизах FreeBSD, 4.x - 13 отчетов об уязвимостях, 5.x - 16 - ну просто двойной удар :)

o Solution Status (статус решений)
Здесь дружно взяло верх семейство FreeBSD, OpenBSD, NetBSD- 0% Unpatched впечатляет, видно - для Linux еще остаются нерешенные проблемы с безопасностью.

o Criticality (критичность)
По этому критерию безусловный лидер - Linux-2.4.x, всего лишь 4% среднекритичных уязвимостей и полное отсутствие высококритичных.

o Where (откуда уязвимы)
Linux-2.4.x опять принимает поздравления - всего 7% удаленных и 14% уязвимостей из локальной сети (взгяните к примеру на NetBSD 1.x).

Решать, какая из систем достойна в следующем году места лучшей по безопасности, будет каждый для себя, главное, что принципы Open Source работают и приносят свои плоды.

P.S. А если станет грустно сравните с offtopic :)

>>> Другие ОС и дистрибутивы

★★★

Проверено: Demetrio ()

Я чего-то не понял такой статистики

В SA от OpenBSD учитываются дырки в login_radius, Xpm, zlib,

httpd/mod_ssl и т.д.

А для ляпикса учитываются исключительно дырки в Linux kernel.

Потянуло парфюмерией дешевого пеара.

Sun-ch
()
Ответ на: комментарий от Sun-ch

а ты разве не догадываешься почему так? а вроде бы разумный человек.. одни "умники" сравнили длинну с площадью,.. бывает.. не стоит всем же им уподоблятся.. а так, вообщем,.. за здравие всех альтернитив! :-)

MiracleMan ★★★★★
()
Ответ на: комментарий от Sun-ch

> Потянуло парфюмерией дешевого пеара.

Так. Что по этому поводу думает Саныч теперь знаем.

anonymous
()

Если учитывать дырки не только в ядре linux, то пришлось бы брать конкретные дистрибутивы.. А их много.

init ★★★★★
()
Ответ на: комментарий от Sun-ch

Ну так БЗДунишки же всегда кричат о том, что в отличии от лялиха БСД это целая система... вот и получили.

anonymous
()
Ответ на: комментарий от abbath

*БЗДи без портов - не полноценные системы. Сравнивать готовое бесполезно, надо по каждой уязвимости смотреть... я полгода назад так делал насчёт 2003-го года... фриБЗДя получилась что-то около 8, у линуха около 12... в общем, один хрен, плохо... :(

anonymous
()
Ответ на: комментарий от MiracleMan

Ну дык я помню сколько было воплей и слюней по поводу неоъективности

отчета от господ из М2Г.


Меня обвинили во всех смертных грехах, включая растление девственниц в

Занзибаре.

Sun-ch
()
Ответ на: комментарий от anonymous

>*БЗДи без портов - не полноценные системы.

Чего же так? Все основные сервисы в наличие, в опен даже апаче есть.

Ну перделок типа кде или оракела там конечно нет.

Ну дык и для ляпикса оракел отдельно покупать надо?

Sun-ch
()
Ответ на: комментарий от bd

...

для FreeBSD (OpenBSD) не отделишь по этим отчетам ошибки дистрибутивные от ядерных, а для linux без проблем.
Сравнивать может любой, для того ссылки и даны ...

x97Rang ★★★
() автор топика

"Прелестно, прелестно" (с) одна ворона.

Причем для *BSD посчитали за отдельную уязвимость каждое обновление sendmail, bind, cvs, openssh и т.п.

Если уж Linux -- это только ядро, так и сравнивайте с ядрами *BSD. Если уж взяли для сравнения целиком *BSD ОС, то и сравнивайте с дистрибутивами GNU/Linux равноценной комплектации.

baka-kun ★★★★★
()
Ответ на: комментарий от Sun-ch

да, я тоже помню,.. тут вообще, местная особенность и анонимусы как лики господни... :-) в любом случае любое мнение, если оно претендует на обьективность, представляет из себя определённый интерес..

>Меня обвинили во всех смертных грехах, включая растление девственниц в Занзибаре.

не принимай близко к сердцу, время всх рассудит..

MiracleMan ★★★★★
()
Ответ на: комментарий от Sun-ch

<offtopic> Я бы тоже с удовольствием оказался причастным к растлению девственниц в Занзибаре... </offtopic>

bd
()
Ответ на: комментарий от Sun-ch

> А для ляпикса учитываются исключительно дырки в Linux kernel.

Хм, сравним рекламу от OpenBSD:
"Only one remote hole in the default install, in more than 8 years!"

Чего ж ты не кричишь, что это нечестно, что 'default install' == 'obsd kernel'?

annonymous ★★
()
Ответ на: комментарий от init

Заметано, давай глянем:

Slackware Linux 9.1 (42 уязв.)=> http://secunia.com/product/2265/?period=2004#statistics

SuSE Linux 9.1 (35 уязв.) => http://secunia.com/product/3473/?period=2004#statistics

Mandrake Linux 9.x ( 119 уязв.) => http://secunia.com/product/3473/?period=2004#statistics

x97Rang ★★★
() автор топика
Ответ на: комментарий от MiracleMan

да какая разница входят ли в отчеты линуксовых дистрибутивов уязвимости ядер или нет, общей картины это не меняет. Все что касется linux двойственно (дистрибутив + ядро), и дистрибутивщики часто пропускают те же дырки, что и в ядрах от www.linux.org, но это в любом случае лучше чем закрытый код - вот и весь вывод. А у кого меньше уязвимостей и все они пропатчены и так понятно.

x97Rang ★★★
() автор топика
Ответ на: комментарий от anonymous

>>P.S. А если станет грустно сравните с offtopic :)

>И удавитесь :) ..

от жалости? :)

geek ★★★
()
Ответ на: комментарий от x97Rang

Там считают полную поставку дистрибутива или установку по умолчанию?

mikhail
()
Ответ на: комментарий от x97Rang

>это в любом случае лучше чем закрытый код - вот и весь вывод.

Тем более, что в закрытом коде больше неизвестных дыр.

mikhail
()

Нашли, откуда статистику брать! На Secunia ляпов хватает. Последний пример:

NASM "error()" Function Buffer Overflow Vulnerability Release Date: 2004-12-17 Impact: System access Solution Status: Unpatched Solution: Don't assemble files from untrusted sources. Where: From remote (!!!!!)

И, ведь, учтут эту дырку как remote...

anonymous
()
Ответ на: комментарий от mikhail

и все-то вы знаете, и везде-то вы бывали! (с)

anonymous
()
Ответ на: комментарий от MiracleMan

а разве это не более корректное сравнение, нежели "linux (kernel) против *bsd (system)". а так - будут сравнивать кернель с кернелем, практически.

tokza
()
Ответ на: комментарий от tokza

не совсем так,.. Linux ядро может жить и само по себе.. ядро *BSD для подобных условий сусчествования не адаптированно.. позиционируются они по разному, вот в чём основная разница..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

> не совсем так

как же, по-твоему, наиболее корректно сравнивать системы между собой, в плане кол-ва ошибок? Ведь что ни возьми, всюду одно и то же - сравнивают BSD, где named/ssh/etc часть системы (или, еще хуже - венду, где считают даже уязвимости media player'a как части системы) и линух - ядро, по сути.

tokza
()
Ответ на: комментарий от tokza

> венду, где считают даже уязвимости media player'a как части системы) и линух - ядро, по сути.

А что ты предлагаешь? Ядро линукс интересно само по себе. А венда, кому
она нужна без медиа плейера? Бесполезный пожиратель ресурсов.

eprst
()
Ответ на: комментарий от tokza

недалёкие люди занимаются подобной ерундой... не надо сравнивать относительности, надо работать, использовать, если можешь, исправлять и улучшать..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

> Linux ядро может жить и само по себе.. ядро *BSD для подобных условий сусчествования не адаптированно.

Ну ведь чушь смолол, не видишь? "Ядро ХХХ может жить само по себе"... Ага, без инита, шела и прикладного софта. Высший дзен -- ядро, существующее ради самого существования.

Хотя... У меня есть проект, где оттюненное ядро FreeBSD 2.2.7 грузится из флеша, в loader.conf настраиваются интерфейсы и необходимые sysctl, а вместо init запускается маленькая проприетарная софтинка, которая слушает 80 и 23 для общения с пользователем, обрабатывая параллельно информацию с пары сотен canbus датчиков. Да и в picoBSD, поднимающейся с дискетки, обилия юзерленда что-то не обнаружено. А уж про GNU/FreeBSD я и не говорю...

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

> Ну ведь чушь смолол, не видишь? "Ядро ХХХ может жить само по себе"...

но ведь Слака без Линукса работает и ничего? :))

o1o
()
Ответ на: комментарий от eprst

>Ядро линукс интересно само по себе. А венда, кому >она нужна без медиа плейера?

А разве в Just for fun Линус не высказывал несколько иную точку зрения на нужность голой ОС ?

anonymous
()
Ответ на: комментарий от tokza

Вы, однако, гоните, сразу видно, что вы репорты не читали.
В том то всё м дело, что там некорректно сравнивается
_весь_ дистрибутив с *BSD base.

Kuzmich ★★
()

>7% удаленных и 14% уязвимостей из локальной сети

Народ, ну сколько можно эту глупость повторять и пропускать, ну нет уязвимостей из локальной сети, поскольку они относятся к удалённым!

anonymous
()
Ответ на: комментарий от anonymous

А чего так линуксоиды занервничали ?
Debian/Slackware/Gentoo нехило выглядят
по сравнению с *BSD системами.
Или дальше выложенных ссылок не заходили ?
ЗЫ Сравнивать Linux kernel с *BSD бред изначально.
На BSD-kernel ведь статистики нет ;-)

anonymous
()
Ответ на: комментарий от baka-kun

может я неверно выразился,.. вообщем, я имел в виду несколько иное..

MiracleMan ★★★★★
()
Ответ на: комментарий от anonymous

>> по сравнению с *BSD системами.

Хорошо подметил. Я, допустим, не собираюсь кажный божий день ядро на на серваке компилить. Удел убогих пингвиноидов.

anonymous
()
Ответ на: комментарий от anonymous

> ЗЫ Сравнивать Linux kernel с *BSD бред изначально.
> На BSD-kernel ведь статистики нет ;-)

Кто тебе сказал, что нет ? Все учитывается, смотреть здесь

http://secunia.com/product/139/
и обязательно здесь

http://secunia.com/advisories/9504/

СМОТРИТЕ ВНИМАТЕЛЬНО !

x97Rang ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.