[Comm] Re: защищённость

[Dmitry Derjavin]

On Thu, May 19 2005 at 22:28, "Dmitry V. Levin" wrote:

>> Master-2.4, из коробки устанавливаем его каким-то произвольным
>> образом
>
> Не надо устанавливать произвольным образом.

А я хочу! Там даже, насколько я помню, при установке есть возможность
выбирать компоненты. Может, тогда отключить её, от греха..

>> ничего специально не ломая, и обновляем из updates. Так вот, можно
>> ли после этого быть уверенным, что все опубликованные, скажем, в
>> bugtraq, скажем, больше двух недель назад, дыры, имеющие к нему
>> отношение, закрыты?
>
> Ну если вы используете какой-нибудь остой, типа suidperl или
> freeradius, то нет, конечно.

Или типа php..

> Поймите вы наконец, что затыкать всё, что анонсировано в bugtraq,
> никто даже не планировал.

Поймите же и вы наконец, что это совершенно не очевидно.

> В большой коробке ALM2.4 полно софта, который использовать
> небезопасно, и который никто фиксить, похоже, не собирается.

Логично было бы, как мне кажется, сделать предупреждающую об этом
надпись на коробке.

> В ALM2.4 есть файл по имени README.security, в котором дана "оценка
> сверху" перечня того софта, на оперативное исправление которого
> можно надеяться.  Реально этот список ещё короче, и надо полагать,
> что вы его знаете.

В том-то и дело, что не знаю. Давайте его опубликуем и будем
поддерживать. Давайте?

-- 
~dd