Re: [devel] severity "security"

["Dmitry V. Levin" <ldv@altlinux.org>]

[-- Attachment #1: Type: text/plain, Size: 5288 bytes --]

On Fri, Jun 16, 2006 at 11:10:11PM +0300, Andrew Kornilov wrote:
> Dmitry V. Levin wrote:
> 
> >Какой в этом смысл?
> >Постящий bug report и так может пометить его как security.
> >
> Отметить "Security Group"? Но ведь, во-первых, никто, кроме этой группы 
> не увидит описание проблемы,

Предполагается, что для этой группы ошибок важна конфиденциальность.

> во-вторых, как мне найти такие уязвимые приложения в поиске?

Отметить эту группу в поиске (если вы входите в соответствующую группу).

> >>Очень хочется видеть, какие же пакеты у нас дырявые на данный момент.
> >
> >Зачем?
> >
> Чтобы видеть, с какими пакетами проблемы. Неработоспособность видна 
> сразу обычно, как быть с безопасностью?

Пойдите на http://cve.mitre.org/cve/ и посмотрите.

> Если бы был некий список 
> уязвимостей приложения и их статуc в Сизифе, было бы проще  узнать, 
> можно ли его использовать в данный момент. Вот кто сходу может ответить, 
> можно ли использовать нашу сборку openvpn? А sshd? А как быть с 
> утилитами типа rkhunter, которые проверяют версию приложения? Он ведь 
> упорно ругается на наш sshd как на уязвимый, хотя это и не так. Кому 
> верить?  Как проверить?

Либо я вас не понял, либо вы наивно полагаете, что дырявость пакета так же
легко проверяется, как и собираемость.

Хотя есть, конечно, разные категории пакетов.
Например, есть такая категория пакетов, про которые известно, что они
дырявые от природы.

Как вы можете проверить, является ли пакет openssh в Сизифе уязвимым?
Это зависит от вашей профессиональной подготовки.

Давайте это проверим.  Ответьте, по возможности, аргументированно на такой
вопрос: подвержен ли уязвимости CVE-2006-2607 пакет vixie-cron в Сизифе?
Как бы вы стали проверять crond на CVE-2006-2607?  Вешать багу на пакет?

> >>bugtraq читают многие, я думаю.
> >
> >Не факт.  Этот список рассылки последнее время стал малоинформативным.
> >
> Но как быть тогда? Аналога полноценного нет.

Это не так.  Есть много списков рассылок, которые вместе взятые дают
достаточно полную картину того, какие пакеты и на какую тему _принято_
исправлять.

> Но это ведь не повод игнорировать вообще проблемы с безопасностью.

Нет, конечно.  Но мне кажется, что ваш взгляд на этот вопрос несколько
упрощённый.  Припоминаю, как несколько лет назад непосредственно перед
релизом какой-то версии Mandrake была найдена какая-то довольно глупая
ошибка в их пакете SysVinit, после чего один пользователь написал в список
рассылки предложение быстренько проверить и устранить оставшиеся дырки. :)

Видите ли, если к безопасности относиться серьёзно, то это сложная
многослойная задача.

> >>Но ситуацию с security, похоже, никто не отслеживает совершенно.
> >
> >Ну, тут вы сильно заблуждаетесь. :)
> >
> Я очень на это надеюсь. Но очень хочется увидеть какие-либо упоминания 
> об этом, а еще лучше результаты.

Я определённо не понимаю, какое упоминание и какой результат вы хотите увидеть.

> >>p.s. Интересно, если, к примеру, если будет выпускаться новый "Master", 
> >>что будет после заморозки? Некие специальные люди будут читать весь 
> >>архив bugtraq и анализировать текущие версии пакетов на предмет 
> >>уязвимостей  или это будет выпущено as is?
> >
> >Коллега, вот я бы на вашем месте подумал, что будет в плане задраивания
> >отверстий в пакетах уже после релиза.
> >
> Не совсем понял. То есть, выпустить дистрибутив с уязвимостями можно, 
> главное, чтобы потом кто-то их исправлял?

Я имею в виду, что исправлять уязвимости в уже выпущенном дистрибутиве
в течение всего срока его жизни существенно сложнее, чем выпустить
дистрибутив с заткнутыми опубликованными дырками.

> >Если бы мантейнеры действительно заботились о безопасности своих пакетов,
> >то вопрос информирования не стоял бы.
> >
> Но ведь активности майнтейнеров недостаточно. Должен (читай: желательно) 
> быть какой-то человек, хоть каким-то образом отвечающий хотя бы за 
> безопасность пакетов.

Что значит "отвечающий"?

> Ведь те же orphaned-пакеты у нас выкидываются из 
> Сизифа без малейшего сожаления, почему бы не выкидывать оттуда и 
> небезопасные приложения (можно ведь и автоматически). Я даже из личного 
> опыта добавлю: у меня хоть и мало пакетов, но следить за их развитием не 
> хватает времени. О проблемах безопасности я узнаю/узнавал случайно. 
> Описание багов  одного приложения проходило в bugtraq за ~ месяц до 
> того, как я узнал о них случайно где-то на форуме или в личном письме, 
> уж не помню. Никто не удосужился уведомить меня о них и в Сизифе было 
> приложения с remote hole. Если внимательно посмотреть, то подобных 
> проблемных пакетов наберётся немало, imho.  Разве это нормально?

Видите ли, пакетов в Сизифе столько, что не интересно не только следить за
безопасностью их всех, но и просто за их именами.
Есть мантейнер не следит за своими пакетами, то это не мантейнер, а
муляж мантейнера.

> p.s. Я повторю вопрос: что будет после "заморозки" среза Сизифа? Будет 
> ли кто-нибудь анализировать срез на предмет безопасности?

Не думаю, что имеет смысл "анализировать срез на предмет безопасности".
Надо просто следить за своими пакетами.

P.S. Всех учу, а самому никак libtiff новый собрать некогда. :(


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]