[Comm] Re: Проблемы с безопасностью дистрибутивов
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Сб Дек 10 22:43:58 MSK 2005
On Sat, Dec 10, 2005 at 10:20:11PM +0300, Eugene Seppel wrote:
> > > Скажу более, ситуация с ошибкой 8294 из Багзиллы
> > > (выполнение произвольного кода из под другого пользователя
> > > путём изменения раскладки клавиатуры), когда ошибка не была
> > > исправлена в течении месяца, несмотря на скорый выход
> > > исправления в Mainstream так же недопустима.
> > Это как раз некритичная проблема.
> На сервере -- бесспорно. Но только не в компьютерной
> лаборатории с IT-студентами как у меня:) Экзотический конечно
> случай.
Не экзотический, но ещё раз -- некритична. Они точно так же
могут подсмотреть r00t passwd из-за плеча или правильным образом
загрузить линукс (если не "хакнув" незапароленный загрузчик,
то со своего livecd в случае наличия такой возможности).
(нет, я проверил и оно сработало; да, понимаю; но)
> По поводу всех приведённых Вами доводов о Microsoft -- примерно
> Ваши слова я и говорил дяденьке. Ну фанатик он. И его не
> переспорить.
Догадываюсь; здесь озвучил скорее для архива.
> Просто хочу сказать, что всем есть чему у неё поучиться. Хотя
> бы тому, как она учится на ошибках.
На этих они пока ничему толком не научились, боюсь.
Oh well. Самим бы тут учиться, желательно на чужих.
> > Да, это один из главных доводов против ALT в коробках.
> > По крайней мере у меня.
> Но пользователям нужен дистр в коробках, ну или ОЕМ. Чтобы
> поставить на production server. А хакерам нужен Сизиф.
> Или, в настоящее время, ALT -- только для хакеров?
Боюсь, это скорее так. Утверждать обратное буду рад, но сейчас
с чистым сердцем не могу. Возможно, даже в этом году ситуация
изменится, но сейчас -- скорее так.
> > ALTLinux не поддерживает исправления безопасности для contribs,
> > > но пользователь в системе по-умолчанию может поставить оттуда
> > > пакеты, так и не поняв, откуда именно он поставил пакеты,
> > > почему этого нельзя делать и что он выкопал себе могилу.
> > Это лучше, чем не давать возможности устанавливать пакеты оттуда.
> > Если не догадаетесь, почему -- переспросите.
> Не догадался. По-моему всё-таки ставить пакеты от туда должен
> только тот, кто твёрдо понимает что делает.
Что делать остальным? Воспользоваться совсем не поддерживаемыми
тарболами при возникновении нужды в программах?..
Я было подумал и согласился с Вами, потом ещё подумал и решил,
что всё-таки не соглашусь. "Не так" -- лучше только для систем,
по которым SLA положено подписывать.
> Собственно вопрос -- по поводу работы пользователей над
> обновлениями: я правильно понимаю, что мы, как пользователи,
> должны присылать патчи для srpm?
Можете приложить руку такими способами:
- повешение багов по замеченным проблемам в bugzilla.altlinux.org;
- при желании и возможности добавление туда же [ссылок на] патчей
(может сильно облегчить работу тому, кто будет её делать, или
послужить стимулом выпустить обновление, на которое иначе бы
не хватило энтузиазма);
- тестирование уже опубликованных в рамках backports обновлений,
анонсированных в backports@ как имеющие отношение к безопасности;
- стать участником команды и принять непосредственное участие
в процессе.
> Большое спасибо за комментарии.
Большое не за что... на самом деле не сильно весело, но когда
жизнь была лёгкой. Боремся покамест, если продукт и сообщество
Вам интересней, чем в других местах -- welcome.
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Подробная информация о списке рассылки community