[devel] severity "security"

Сб Июн 17 00:10:11 MSD 2006

Dmitry V. Levin wrote:

>Какой в этом смысл?
>Постящий bug report и так может пометить его как security.
>  
>
Отметить "Security Group"? Но ведь, во-первых, никто, кроме этой группы 
не увидит описание проблемы, во-вторых, как мне найти такие уязвимые 
приложения в поиске?

>>Очень хочется видеть, какие же пакеты у нас дырявые на данный момент.
>>    
>>
>
>Зачем?
>  
>
Чтобы видеть, с какими пакетами проблемы. Неработоспособность видна 
сразу обычно, как быть с безопасностью? Если бы был некий список 
уязвимостей приложения и их статуc в Сизифе, было бы проще  узнать, 
можно ли его использовать в данный момент. Вот кто сходу может ответить, 
можно ли использовать нашу сборку openvpn? А sshd? А как быть с 
утилитами типа rkhunter, которые проверяют версию приложения? Он ведь 
упорно ругается на наш sshd как на уязвимый, хотя это и не так. Кому 
верить?  Как проверить?

>>bugtraq читают многие, я думаю.
>>    
>>
>
>Не факт.  Этот список рассылки последнее время стал малоинформативным.
>  
>
Но как быть тогда? Аналога полноценного нет. Но это ведь не повод 
игнорировать вообще проблемы с безопасностью.

>>Но ситуацию с security, похоже, никто не отслеживает совершенно.
>>    
>>
>
>Ну, тут вы сильно заблуждаетесь. :)
>  
>
Я очень на это надеюсь. Но очень хочется увидеть какие-либо упоминания 
об этом, а еще лучше результаты.

>>p.s. Интересно, если, к примеру, если будет выпускаться новый "Master", 
>>что будет после заморозки? Некие специальные люди будут читать весь 
>>архив bugtraq и анализировать текущие версии пакетов на предмет 
>>уязвимостей  или это будет выпущено as is?
>>    
>>
>
>Коллега, вот я бы на вашем месте подумал, что будет в плане задраивания
>отверстий в пакетах уже после релиза.
>  
>
Не совсем понял. То есть, выпустить дистрибутив с уязвимостями можно, 
главное, чтобы потом кто-то их исправлял?

>Если бы мантейнеры действительно заботились о безопасности своих пакетов,
>то вопрос информирования не стоял бы.
>
>  
>
Но ведь активности майнтейнеров недостаточно. Должен (читай: желательно) 
быть какой-то человек, хоть каким-то образом отвечающий хотя бы за 
безопасность пакетов. Ведь те же orphaned-пакеты у нас выкидываются из 
Сизифа без малейшего сожаления, почему бы не выкидывать оттуда и 
небезопасные приложения (можно ведь и автоматически). Я даже из личного 
опыта добавлю: у меня хоть и мало пакетов, но следить за их развитием не 
хватает времени. О проблемах безопасности я узнаю/узнавал случайно. 
Описание багов  одного приложения проходило в bugtraq за ~ месяц до 
того, как я узнал о них случайно где-то на форуме или в личном письме, 
уж не помню. Никто не удосужился уведомить меня о них и в Сизифе было 
приложения с remote hole. Если внимательно посмотреть, то подобных 
проблемных пакетов наберётся немало, imho.  Разве это нормально?

p.s. Я повторю вопрос: что будет после "заморозки" среза Сизифа? Будет 
ли кто-нибудь анализировать срез на предмет безопасности?