[Comm] Проблемы с безопасностью дистрибутивов

Eugene Seppel =?iso-8859-1?q?ponty=2Epilat_=CE=C1_gmail=2Ecom?=
Сб Дек 10 16:31:34 MSK 2005 

Уважаемые господа! В первую очередь разработчики!

Во-первых, хочется обратить внимание, что список рассылки Security-announce
мёртв. Последние сообщения в нём (согласно
http://lists.altlinux.org/pipermail/security-announce/ ) датируются маем
этого года. С тех пор вышло огромное количество исправлений критических
ошибок, но пользователи не были уведомлены.

На мой взгляд такая ситуация недопустима.

Скажу более, ситуация с ошибкой 8294 из Багзиллы (выполнение произвольного
кода из под другого пользователя путём изменения раскладки клавиатуры),
когда ошибка не была исправлена в течении месяца, несмотря на скорый выход
исправления в Mainstream так же недопустима.

Недавно в СПбГУ приезжал дяденька из Microsoft, который, приводя подобные
примеры из различных дистрибутивов Linux, рассказывал о существенных
проблемах безопасности модели разработки OpenSource дистрибутивов.

С глубочайшим сожалением, несмотря на долгие споры с тем господином, должен
заметить, что он кое в чём был прав. Редмондская компания по крайней мере
выпускает бюллетени и апдейты. Которые чаще всего выходят в срок. Об
исправленных уязвимостях они сообщают пользователям, подписавшимся на
рассылку. (Всё, щас заклюют:) Желающим могу дать полученные мной от него
статистические материалы на проверку.

На мой взгляд, дистрибутив, продаваемый в коробке, не должен быть уделом
только хакеров. Человек, купивший и поставивший его на сервер должен быть в
курсе проблем с безопасностью и получать вовремя updates.

Замечу ещё, что по-умолчанию в sources.list прописан для Мастера репозиторий
contribs, содержащий пакеты, дающие локальным пользователям права root. (
https://bugzilla.altlinux.org/show_bug.cgi?id=8588)
ALTLinux не поддерживает исправления безопасности для contribs, но
пользователь в системе по-умолчанию может поставить оттуда пакеты, так и не
поняв, откуда  именно он поставил пакеты, почему этого нельзя делать и что
он выкопал себе могилу.

Мне кажется, что необходимо изменить сложившуюся ситуацию, пусть и при
помощи уменьшения числа пакетов.
Сообщество должно быть заинтерисовано в качественном программном продукте.
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/community/attachments/20051210/f8e45b3e/attachment-0003.html>

Подробная информация о списке рассылки community