[Comm] Re: Проблемы с безопасностью дистрибутивов

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Сб Дек 10 18:27:00 MSK 2005 

On Sat, Dec 10, 2005 at 04:31:34PM +0300, Eugene Seppel wrote:
> Во-первых, хочется обратить внимание, что список рассылки
> Security-announce мёртв. Последние сообщения в нём (согласно
> http://lists.altlinux.org/pipermail/security-announce/ ) датируются маем
> этого года. С тех пор вышло огромное количество исправлений
> критических ошибок, но пользователи не были уведомлены.

На базе в курсе; насколько знаю, технически он заглушен.

> На мой взгляд такая ситуация недопустима.

Недопустимо другое -- если на lists.altlinux.org и/или
altlinux.ru он фигурирует как действующий.

> Скажу более, ситуация с ошибкой 8294 из Багзиллы (выполнение
> произвольного кода из под другого пользователя путём изменения
> раскладки клавиатуры), когда ошибка не была исправлена в
> течении месяца, несмотря на скорый выход исправления в
> Mainstream так же недопустима.

Это как раз некритичная проблема.

> Недавно в СПбГУ приезжал дяденька из Microsoft, который,
> приводя подобные примеры из различных дистрибутивов Linux,
> рассказывал о существенных проблемах безопасности модели
> разработки OpenSource дистрибутивов.

Дяденька если не дурак, то придуривается; надёргать примеров
подобным образом -- это всё, на что такие деятели способны.

> С глубочайшим сожалением, несмотря на долгие споры с тем
> господином, должен заметить, что он кое в чём был прав.

Кое в чём мы все правы и неправы...

> Редмондская компания по крайней мере выпускает бюллетени и
> апдейты. Которые чаще всего выходят в срок.

Вы не знаете их сроки, судя по всему.  Подпишитесь на
bugtraq на securityfocus.com и узнайте что-то более близкое 
к истине по этим самым срокам.

Вкратце -- подумайте, кому выгодны месячные бандлы:
администраторам и пользователями или PR-манагерам MS.
(мол, "у нас исправлений меньше надо")

> Об исправленных уязвимостях они сообщают пользователям,
> подписавшимся на рассылку. (Всё, щас заклюют:) Желающим могу
> дать полученные мной от него статистические материалы на
> проверку.

Бессмысленно.  Объясняю, почему: грош цена статистике, которая
уравнивает в весу ("адзын штук") удалённый system level access
и мелкую локальную проблему вроде вышеупомянутой (hint: доступ
к локальной консоли -- это практически неотвратимый полный
локальный доступ, избежать возможности которого стоит как минимум
криптования локальных дисков).

Также они уравнивают количество дырок в своём эээ... продукте
и продуктах Linux-вендоров, несопоставимые по функциональности
(неоднозначно, но сравнивать функционал RHEL/SLES или ALT/Debian
и win2k3 server -- действительно бессмысленно один-к-одному).

Улавливаете?

> На мой взгляд, дистрибутив, продаваемый в коробке, не должен
> быть уделом только хакеров. Человек, купивший и поставивший его
> на сервер должен быть в курсе проблем с безопасностью и
> получать вовремя updates.

Да, это один из главных доводов против ALT в коробках.  
По крайней мере у меня.

> Замечу ещё, что по-умолчанию в sources.list прописан для
> Мастера репозиторий contribs, содержащий пакеты, дающие
> локальным пользователям права root. (
> https://bugzilla.altlinux.org/show_bug.cgi?id=8588)

Да.

> ALTLinux не поддерживает исправления безопасности для contribs,
> но пользователь в системе по-умолчанию может поставить оттуда
> пакеты, так и не поняв, откуда  именно он поставил пакеты,
> почему этого нельзя делать и что он выкопал себе могилу.

Это лучше, чем не давать возможности устанавливать пакеты оттуда.
Если не догадаетесь, почему -- переспросите.

> Мне кажется, что необходимо изменить сложившуюся ситуацию,
> пусть и при помощи уменьшения числа пакетов.

В _поддерживаемой_ их части.  Или увеличения количества
человеко-часов, которые получается выделить на поддержку
обновлениями по безопасности.

> Сообщество должно быть заинтерисовано в качественном
> программном продукте.

Сообщество в курсе; если хотите, можете присоединиться к работе
над обновлениями.  Фо^H^HПодробности, как водится -- письмом.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20051210/223ea5b8/attachment-0003.bin>

Подробная информация о списке рассылки community