From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] severity "security"
Date: Sat, 17 Jun 2006 15:41:33 +0300
Message-ID: <20060617124133.GG370@osdn.org.ua> (raw)
In-Reply-To: <44931023.8040102@altlinux.ru>
[-- Attachment #1: Type: text/plain, Size: 2952 bytes --]
On Fri, Jun 16, 2006 at 11:10:11PM +0300, Andrew Kornilov wrote:
> А как быть с утилитами типа rkhunter, которые проверяют версию
> приложения?
Так и быть -- выкинуть как ориентированный на слаквари.
Ну или помнить цену выводу.
> Кому верить?
Каждый решает сам.
> Как проверить?
pen-test и metasploit? (мне не настолько интересно, чтобы
высказать _своё_ мнение -- его тут нет)
> >>bugtraq читают многие, я думаю.
> >Не факт. Этот список рассылки последнее время стал
> >малоинформативным.
> Но как быть тогда? Аналога полноценного нет. Но это ведь не
> повод игнорировать вообще проблемы с безопасностью.
Рекомендую анонсы secunia.com. Описания у них порой до того
шаблонные, что напоминают спам, но по крайней мере есть ссылки,
батчами и довольно оперативно.
> >Коллега, вот я бы на вашем месте подумал, что будет в плане
> >задраивания отверстий в пакетах уже после релиза.
> Не совсем понял. То есть, выпустить дистрибутив с уязвимостями
> можно, главное, чтобы потом кто-то их исправлял?
Выпустить дистрибутив без уязвимостей (не обязательно известных)
нельзя. Говорят, безопасность -- не состояние, а процесс.
> >Если бы мантейнеры действительно заботились о безопасности
> >своих пакетов, то вопрос информирования не стоял бы.
> Но ведь активности майнтейнеров недостаточно. Должен (читай:
> желательно) быть какой-то человек, хоть каким-то образом
> отвечающий хотя бы за безопасность пакетов.
Всех?
> Ведь те же orphaned-пакеты у нас выкидываются из Сизифа без
> малейшего сожаления, почему бы не выкидывать оттуда и
> небезопасные приложения (можно ведь и автоматически).
sendmail безопасен? (Сергей, простите! ничего личного)
> Я даже из личного опыта добавлю: у меня хоть и мало пакетов, но
> следить за их развитием не хватает времени. О проблемах
> безопасности я узнаю/узнавал случайно. Описание багов одного
> приложения проходило в bugtraq за ~ месяц до того, как я узнал
> о них случайно где-то на форуме или в личном письме, уж не
> помню. Никто не удосужился уведомить меня о них и в Сизифе было
> приложения с remote hole.
Я стараюсь форвардить то, что замечаю, тем, кого знаю, если это
касается того, что им небезынтересно. Просто все списки "кому
чего" в голове, естественно, не поместить.
Знаю как минимум одного человека, который порой вешает толковые
баги именно по части безопасности (Serg Rychka).
> p.s. Я повторю вопрос: что будет после "заморозки" среза
> Сизифа? Будет ли кто-нибудь анализировать срез на предмет
> безопасности?
PS: чего и удивился, когда упразднили компоненты -- main и
contrib всё-таки вполне возможно разделить, проведя формальный
опрос -- за что кто готов отвечать и _оценочно_ -- насколько
долго и в какой мере. За несколько из своих пакетов могу
подписаться, пересматривал их тогда в таком свете.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
next prev parent reply other threads:[~2006-06-17 12:41 UTC|newest]
Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-06-16 16:00 Andrew Kornilov
2006-06-16 17:23 ` Michael Shigorin
2006-06-16 18:25 ` Dmitry V. Levin
2006-06-16 20:10 ` Andrew Kornilov
2006-06-16 21:29 ` Dmitry V. Levin
2006-10-02 17:10 ` Andrew Kornilov
2006-10-02 17:24 ` Michael Shigorin
2006-10-02 17:32 ` Dmitry V. Levin
2006-10-02 19:40 ` Nikolay A. Fetisov
2006-10-03 8:15 ` [devel] [wiki] " Michael Shigorin
2006-10-03 21:32 ` [devel] " Dmitry V. Levin
2006-06-17 12:41 ` Michael Shigorin [this message]
2006-10-02 17:20 ` Andrew Kornilov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20060617124133.GG370@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git