On Fri, Jun 16, 2006 at 11:10:11PM +0300, Andrew Kornilov wrote:
> А как быть с утилитами типа rkhunter, которые проверяют версию
> приложения?

Так и быть -- выкинуть как ориентированный на слаквари.
Ну или помнить цену выводу.

> Кому верить?

Каждый решает сам.

> Как проверить?

pen-test и metasploit? (мне не настолько интересно, чтобы
высказать _своё_ мнение -- его тут нет)

> >>bugtraq читают многие, я думаю.
> >Не факт.  Этот список рассылки последнее время стал
> >малоинформативным.
> Но как быть тогда? Аналога полноценного нет. Но это ведь не
> повод игнорировать вообще проблемы с безопасностью.

Рекомендую анонсы secunia.com.  Описания у них порой до того
шаблонные, что напоминают спам, но по крайней мере есть ссылки,
батчами и довольно оперативно.

> >Коллега, вот я бы на вашем месте подумал, что будет в плане
> >задраивания отверстий в пакетах уже после релиза.
> Не совсем понял. То есть, выпустить дистрибутив с уязвимостями
> можно, главное, чтобы потом кто-то их исправлял?

Выпустить дистрибутив без уязвимостей (не обязательно известных)
нельзя.  Говорят, безопасность -- не состояние, а процесс.

> >Если бы мантейнеры действительно заботились о безопасности
> >своих пакетов, то вопрос информирования не стоял бы.
> Но ведь активности майнтейнеров недостаточно. Должен (читай:
> желательно) быть какой-то человек, хоть каким-то образом
> отвечающий хотя бы за безопасность пакетов.

Всех?

> Ведь те же orphaned-пакеты у нас выкидываются из Сизифа без
> малейшего сожаления, почему бы не выкидывать оттуда и
> небезопасные приложения (можно ведь и автоматически).

sendmail безопасен?  (Сергей, простите!  ничего личного)

> Я даже из личного опыта добавлю: у меня хоть и мало пакетов, но
> следить за их развитием не хватает времени. О проблемах
> безопасности я узнаю/узнавал случайно.  Описание багов  одного
> приложения проходило в bugtraq за ~ месяц до того, как я узнал
> о них случайно где-то на форуме или в личном письме, уж не
> помню. Никто не удосужился уведомить меня о них и в Сизифе было
> приложения с remote hole.

Я стараюсь форвардить то, что замечаю, тем, кого знаю, если это
касается того, что им небезынтересно.  Просто все списки "кому
чего" в голове, естественно, не поместить.

Знаю как минимум одного человека, который порой вешает толковые
баги именно по части безопасности (Serg Rychka).

> p.s. Я повторю вопрос: что будет после "заморозки" среза
> Сизифа? Будет ли кто-нибудь анализировать срез на предмет
> безопасности?

PS: чего и удивился, когда упразднили компоненты -- main и
contrib всё-таки вполне возможно разделить, проведя формальный
опрос -- за что кто готов отвечать и _оценочно_ -- насколько
долго и в какой мере.  За несколько из своих пакетов могу
подписаться, пересматривал их тогда в таком свете.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/