[devel] Rootkit Hunter - programs

ALT Linux Team development discussions
 help / color / mirror / Atom feed

* [devel] Rootkit Hunter - programs_bad.dat
@ 2004-09-25  1:07 Илья Евсеев 
  2004-09-25  6:25 ` [devel] " Michael Shigorin
  2004-09-25  9:23 ` [devel] Rootkit Hunter - programs_bad.dat Dmitry V. Levin
  0 siblings, 2 replies; 5+ messages in thread
From: Илья Евсеев  @ 2004-09-25  1:07 UTC (permalink / raw)
  To: devel

   Всем привет!
Rootkit Hunter, который я сейчас пытаюсь протолкнуть в Инкоминг,
имеет внутри себя файлик programs_bad.dat, содержащий имена
и версии приложений, имеющих проблемы с сетевой безопасностью.
Я обращаюсь к мантейнерам соответветствующих пакетов
со следующей просьбой/вопросом:
1) знаете ли вы, за что перечисленные ниже версии признаны ненадежными?
2) исправлены ли Альтовские сборки, чтобы об этом можно было не беспокоиться?

Складывается впечатление, что programs_bad.dat и programs_good.dat вообще надо полностью переписать под Альт и обновлять одновременно с выходом security updates в расчёте на то, что даже если кто-то ленивый обновляет/экономный только rkhunter, тот ему вовремя скажет, что следует обновить или отключить что-то ещё.

Обновление может быть одним из двух:
1) либо новая сборка всего пакета rkhunter целиком,
2) либо выкладывание на WWW/FTP только programs_{bad,good}.dat
   с gpg-подписью ALT Security Team, чтобы их забирали через {w,lftp}get.

На моей системе (ALM22 + Updates + кое-что backported вручную из Сизифа) ненадёжными rkhunter считает GnuPG 1.2.1 (alt2.1) и OpenSSH 3.4p1 (alt4.2).

С уважением,
Илья Евсеев

------------------------------------------------------
Это programs_bad.dat
~~~~~~~~~~~~~~~~~~~~
000:version:2004091000:
httpd:%1.3.19%1.3.23%1.3.26%1.3.27%1.3.28%1.3.29%2.0.40%2.0.46%2.0.47%2.0.48%2.0.49%:
sshd:%3.4p1%3.5p1%3.6.1p1%3.6.1p2%:
exim:%4.24%:
php:%4.1.2%4.3.0%4.3.1%4.3.2%4.3.3%4.3.4%4.3.5%4.3.6%4.3.7%:
clamd:%0.60%0.62%0.65%:
gpg:%1.0.2%1.0.4%1.0.6%1.0.7%1.2.0%1.2.1%1.2.2%1.2.3%1.3.3%:
named:%8.3.3%8.3.4%8.4.1%:
mc:%%:
procmail:%3.14%3.15.1%%:
proftpd:%1.2.5rc1%1.2.7rc2%1.2.8%1.2.9%:
openssl:%0.9.6%0.9.6b%0.9.6c%0.9.6l%0.9.7a%0.9.7b%0.9.7c%:

------------------------------------------------------
Это programs_good.dat
~~~~~~~~~~~~~~~~~~~~~
000:version:2004091000:
httpd:%1.3.31%2.0.50%:
sshd:%3.1p1%3.7.1p1%3.8p1%3.8.1p1%3.9p1%:
exim:%4.30%4.32%4.34%4.41%:
php:%4.3.8%5.0.0%5.0.1%:
clamd:%0.70%0.72%0.75%0.75.1%:
gpg:%1.2.4%1.2.5%1.2.6%1.3.4%:
named:%8.4.2%8.4.4%:
mc:%4.6.0%:
procmail:%3.15.2%3.22%:
proftpd:%1.2.10rc1%1.2.10rc2%1.2.10rc3%:
openssl:%0.9.7d%0.9.6m%:

^ permalink raw reply	[flat|nested] 5+ messages in thread

* [devel] Re: Rootkit Hunter - programs_bad.dat
  2004-09-25  1:07 [devel] Rootkit Hunter - programs_bad.dat Илья Евсеев 
@ 2004-09-25  6:25 ` Michael Shigorin
  2004-09-25  8:23   ` Вячеслав Диконов
  2004-09-25  9:23 ` [devel] Rootkit Hunter - programs_bad.dat Dmitry V. Levin
  1 sibling, 1 reply; 5+ messages in thread
From: Michael Shigorin @ 2004-09-25  6:25 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 859 bytes --]

On Sat, Sep 25, 2004 at 05:07:02AM +0400, Илья Евсеев  wrote:
> Складывается впечатление, что programs_bad.dat и
> programs_good.dat вообще надо полностью переписать под Альт и
> обновлять одновременно с выходом security updates в расчёте на
> то, что даже если кто-то ленивый обновляет/экономный только
> rkhunter, тот ему вовремя скажет, что следует обновить или
> отключить что-то ещё.

Есть подозрение, что заботиться о таких -- дело настолько
неблагодарное, что не стоит и пытаться.

Или человек что-то умеет и делает, или платит деньги тем, кто
умеет.  Или рано или поздно подводит работодателя и идёт лесом.

А если попытаться -- получим давно изложенный пример с метанием
жемчуга: такое вот чудо ещё и претензии предъявлять полезет.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [devel] Re: Rootkit Hunter - programs_bad.dat
  2004-09-25  6:25 ` [devel] " Michael Shigorin
@ 2004-09-25  8:23   ` Вячеслав Диконов
  2004-09-25 12:50     ` [devel] Sisyphus "sec advisories"? (was: Rootkit Hunter - programs_bad.dat) Michael Shigorin
  0 siblings, 1 reply; 5+ messages in thread
From: Вячеслав Диконов @ 2004-09-25  8:23 UTC (permalink / raw)
  To: ALT Devel discussion list

В Сбт, 25/09/2004 в 09:25 +0300, Michael Shigorin пишет:
> On Sat, Sep 25, 2004 at 05:07:02AM +0400, Илья Евсеев  wrote:
> > Складывается впечатление, что programs_bad.dat и
> > programs_good.dat вообще надо полностью переписать под Альт и
> > обновлять одновременно с выходом security updates в расчёте на
> > то, что даже если кто-то ленивый обновляет/экономный только
> > rkhunter, тот ему вовремя скажет, что следует обновить или
> > отключить что-то ещё.
> 
> Есть подозрение, что заботиться о таких -- дело настолько
> неблагодарное, что не стоит и пытаться.
> 
> Или человек что-то умеет и делает, или платит деньги тем, кто
> умеет.  Или рано или поздно подводит работодателя и идёт лесом.
> 
> А если попытаться -- получим давно изложенный пример с метанием
> жемчуга: такое вот чудо ещё и претензии предъявлять полезет.
А вот я сказал  бы  спасибо за программу, которая по запросу или с
некоторой периодичностью сообщала бы мне о том, что пакеты ХХХ-alt.rpm
желательно срочно обновить по соображениям "безопасности", "снижение
уровня глючности/нестабильности" и "исправлен баг №ХХХХ". 

Я обновляю Сизиф примерно раз в месяц, и, поскольку вирусы и отмычки
волнуют меня очень мало, сам тратить силы и время на отслеживание
уязвимостей не могу. Срочно выкачать локальное обновление следуя такому
совету может оказаться хорошим вариантом.



^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [devel] Rootkit Hunter - programs_bad.dat
  2004-09-25  1:07 [devel] Rootkit Hunter - programs_bad.dat Илья Евсеев 
  2004-09-25  6:25 ` [devel] " Michael Shigorin
@ 2004-09-25  9:23 ` Dmitry V. Levin
  1 sibling, 0 replies; 5+ messages in thread
From: Dmitry V. Levin @ 2004-09-25  9:23 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 1282 bytes --]

Hi,

On Sat, Sep 25, 2004 at 05:07:02AM +0400, Илья Евсеев  wrote:
> Rootkit Hunter, который я сейчас пытаюсь протолкнуть в Инкоминг,
> имеет внутри себя файлик programs_bad.dat, содержащий имена
> и версии приложений, имеющих проблемы с сетевой безопасностью.

К сожалению, в этом файлике не указаны сборки пакетов.
Если эту программу не удастся обучить корректно работать в ситуации, когда
разные релизы одного и того же пакета подвержены разным проблемам, то от
неё никакой пользы не будет.

> Я обращаюсь к мантейнерам соответветствующих пакетов
> со следующей просьбой/вопросом:
> 1) знаете ли вы, за что перечисленные ниже версии признаны ненадежными?

http://cve.mitre.org/cve/

> 2) исправлены ли Альтовские сборки, чтобы об этом можно было не беспокоиться?

Все поддерживаемые пакеты исправлены.
Самый свежий пример неподдерживаемого/неисправленного пакета: apache2.

> Складывается впечатление, что programs_bad.dat и programs_good.dat вообще надо полностью переписать под Альт и обновлять одновременно с выходом security updates в расчёте на то, что даже если кто-то ленивый обновляет/экономный только rkhunter, тот ему вовремя скажет, что следует обновить или отключить что-то ещё.

Может проще подписаться на security-announce@?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* [devel] Sisyphus "sec advisories"? (was: Rootkit Hunter - programs_bad.dat)
  2004-09-25  8:23   ` Вячеслав Диконов
@ 2004-09-25 12:50     ` Michael Shigorin
  0 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2004-09-25 12:50 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 564 bytes --]

On Sat, Sep 25, 2004 at 12:23:18PM +0400, Вячеслав Диконов wrote:
> А вот я сказал  бы  спасибо за программу, которая по запросу
> или с некоторой периодичностью сообщала бы мне о том, что
> пакеты ХХХ-alt.rpm желательно срочно обновить по соображениям
> "безопасности", "снижение уровня глючности/нестабильности" и
> "исправлен баг ?ХХХХ". 

А, если на Sisyphus обитать?  Так это совсем другое, но вполне
возможно начинать с чтения security-announce@.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2004-09-25 12:50 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-09-25  1:07 [devel] Rootkit Hunter - programs_bad.dat Илья Евсеев 
2004-09-25  6:25 ` [devel] " Michael Shigorin
2004-09-25  8:23   ` Вячеслав Диконов
2004-09-25 12:50     ` [devel] Sisyphus "sec advisories"? (was: Rootkit Hunter - programs_bad.dat) Michael Shigorin
2004-09-25  9:23 ` [devel] Rootkit Hunter - programs_bad.dat Dmitry V. Levin

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git