On Thu, May 19, 2005 at 03:38:18PM +1100, Dmitry Derjavin wrote:
> Хорошо.. Я просто пытаюсь понять. Вот такую простую вещь:
> 
> Берём последний официально поддерживаемый дистрибутив, то есть
> Master-2.4, из коробки устанавливаем его каким-то произвольным
> образом

Не надо устанавливать произвольным образом.

> ничего специально не ломая, и обновляем из updates. Так вот,
> можно ли после этого быть уверенным, что все опубликованные, скажем, в
> bugtraq, скажем, больше двух недель назад, дыры, имеющие к нему
> отношение, закрыты?

Ну если вы используете какой-нибудь остой, типа suidperl или freeradius,
то нет, конечно.

Поймите вы наконец, что затыкать всё, что анонсировано в bugtraq, никто
даже не планировал.

В большой коробке ALM2.4 полно софта, который использовать небезопасно,
и который никто фиксить, похоже, не собирается.

В ALM2.4 есть файл по имени README.security, в котором дана "оценка сверху"
перечня того софта, на оперативное исправление которого можно надеяться.
Реально этот список ещё короче, и надо полагать, что вы его знаете.

> Вот и у меня было примерно такое же лицо, когда недавно один знакомый
> админ попросил меня покритиковать его решение использовать в новом
> проекте сервера под altlinux.

Вы знаете, а вот я использую ALM2.4 на серверах, и чувствую себя при этом
достаточно спокойно, поскольку все потенциальные уязвимости пока что там
исправляются с исключительной оперативностью.


-- 
ldv