[Comm] Re: Безопасность

[Denis Smirnov]

On Thu, Dec 30, 2004 at 01:02:46AM +0300, Dmitry V. Levin wrote:

>> IMHO : информационная рассылка дистрибутива _должна заменять_ bugtraq.
DVL> Не согласен.  Считаю перевод bugtraq'а бессмысленной тратой драгоценного времени.
DVL> А вот информация "скачать здесь", пожалуй, уже не нужна - все и так уже
DVL> знают, как им устанавливать обновления.

В багтраке не описано про действенность уязвимости в ALT, и о возможных
последствиях её эксплуатации.

И админ (особенно начинающий, или купивший продукт "всё в одном" вроде
SOHO server) захочет _сразу_ узнать уязвима ли его система. И, если
уязвима, срочно попытаться что-то предпринять для обеспечения своей
безопасности до выхода обновления (которые, увы, выходят не так чтобы
особо оператвно, особенно для 2.2, о прекращении поддержки коего не все
пользователи уже знают).

ALTовские сборки уж шибко сильно отличаются от апстрима чаще всего. И в
лучшую сторону (за то и любим).

Понимаешь, многим, очень многим, хочется заплатить денег и жить спокойно.
Подписав свой сотовый телефон на рассылку информации о безопасности иметь
оперативную информацию о том, что происходит.

Мне (и не только мне) очень хочется знать о том, что мои системы уязвимы
_как можно скорее_ после того, как эта инфромация станет доступа. И даже
до того, как появится обновление.

Хотя бы потому, что в случае появления сообщения "есть уязвимость в
сервисе A, проявляется при условиях B, патч нам делать сегодня лениво,
так что трахайтесь сами или ждите пока мы отдохнём" я хотя бы в офис
приеду, и таки сделаю сборку с патчем, и залью куда надо.

А сейчас мне надо при повлении письма из bugtraq тащиться в офис (если у
меня нет нормальной сети), там тестировать эту уязвимость на альтовских
сборках (и во многих случаях окажется что её и нет, или она не настолько
была опасна, чтобы срочно выезжать).

-- 
С уважением, Денис

http://freesource.info