[Comm] Re: Проблемы с безопасностью дистрибутивов

[Michael Shigorin]

On Sat, Dec 10, 2005 at 10:20:11PM +0300, Eugene Seppel wrote:
> > > Скажу более, ситуация с ошибкой 8294 из Багзиллы
> > > (выполнение произвольного кода из под другого пользователя
> > > путём изменения раскладки клавиатуры), когда ошибка не была
> > > исправлена в течении месяца, несмотря на скорый выход
> > > исправления в Mainstream так же недопустима.
> > Это как раз некритичная проблема.
> На сервере -- бесспорно.  Но только не в компьютерной
> лаборатории с IT-студентами как у меня:) Экзотический конечно
> случай.

Не экзотический, но ещё раз -- некритична.  Они точно так же
могут подсмотреть r00t passwd из-за плеча или правильным образом
загрузить линукс (если не "хакнув" незапароленный загрузчик,
то со своего livecd в случае наличия такой возможности).

(нет, я проверил и оно сработало; да, понимаю; но)

> По поводу всех приведённых Вами доводов о Microsoft -- примерно
> Ваши слова я и говорил дяденьке. Ну фанатик он. И его не
> переспорить.

Догадываюсь; здесь озвучил скорее для архива.

> Просто хочу сказать, что всем есть чему у неё поучиться. Хотя
> бы тому, как она учится на ошибках.

На этих они пока ничему толком не научились, боюсь.
Oh well.  Самим бы тут учиться, желательно на чужих.

> > Да, это один из главных доводов против ALT в коробках.
> > По крайней мере у меня.
> Но пользователям нужен дистр в коробках, ну или ОЕМ. Чтобы
> поставить на production server. А хакерам нужен Сизиф.
> Или, в настоящее время, ALT -- только для хакеров?

Боюсь, это скорее так.  Утверждать обратное буду рад, но сейчас 
с чистым сердцем не могу.  Возможно, даже в этом году ситуация
изменится, но сейчас -- скорее так.

> > ALTLinux не поддерживает исправления безопасности для contribs,
> > > но пользователь в системе по-умолчанию может поставить оттуда
> > > пакеты, так и не поняв, откуда  именно он поставил пакеты,
> > > почему этого нельзя делать и что он выкопал себе могилу.
> > Это лучше, чем не давать возможности устанавливать пакеты оттуда.
> > Если не догадаетесь, почему -- переспросите.
> Не догадался. По-моему всё-таки ставить пакеты от туда должен
> только тот, кто твёрдо понимает что делает.

Что делать остальным?  Воспользоваться совсем не поддерживаемыми
тарболами при возникновении нужды в программах?..

Я было подумал и согласился с Вами, потом ещё подумал и решил,
что всё-таки не соглашусь.  "Не так" -- лучше только для систем,
по которым SLA положено подписывать.

> Собственно вопрос -- по поводу работы пользователей над
> обновлениями: я правильно понимаю, что мы, как пользователи,
> должны присылать патчи для srpm?

Можете приложить руку такими способами:

- повешение багов по замеченным проблемам в bugzilla.altlinux.org;
- при желании и возможности добавление туда же [ссылок на] патчей
  (может сильно облегчить работу тому, кто будет её делать, или
  послужить стимулом выпустить обновление, на которое иначе бы
  не хватило энтузиазма);
- тестирование уже опубликованных в рамках backports обновлений,
  анонсированных в backports@ как имеющие отношение к безопасности;
- стать участником команды и принять непосредственное участие
  в процессе.

> Большое спасибо за комментарии.

Большое не за что... на самом деле не сильно весело, но когда
жизнь была лёгкой.  Боремся покамест, если продукт и сообщество
Вам интересней, чем в других местах -- welcome.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/