* [devel] Rootkit Hunter - programs_bad.dat
@ 2004-09-25 1:07 Илья Евсеев
2004-09-25 6:25 ` [devel] " Michael Shigorin
2004-09-25 9:23 ` [devel] Rootkit Hunter - programs_bad.dat Dmitry V. Levin
0 siblings, 2 replies; 5+ messages in thread
From: Илья Евсеев @ 2004-09-25 1:07 UTC (permalink / raw)
To: devel
Всем привет!
Rootkit Hunter, который я сейчас пытаюсь протолкнуть в Инкоминг,
имеет внутри себя файлик programs_bad.dat, содержащий имена
и версии приложений, имеющих проблемы с сетевой безопасностью.
Я обращаюсь к мантейнерам соответветствующих пакетов
со следующей просьбой/вопросом:
1) знаете ли вы, за что перечисленные ниже версии признаны ненадежными?
2) исправлены ли Альтовские сборки, чтобы об этом можно было не беспокоиться?
Складывается впечатление, что programs_bad.dat и programs_good.dat вообще надо полностью переписать под Альт и обновлять одновременно с выходом security updates в расчёте на то, что даже если кто-то ленивый обновляет/экономный только rkhunter, тот ему вовремя скажет, что следует обновить или отключить что-то ещё.
Обновление может быть одним из двух:
1) либо новая сборка всего пакета rkhunter целиком,
2) либо выкладывание на WWW/FTP только programs_{bad,good}.dat
с gpg-подписью ALT Security Team, чтобы их забирали через {w,lftp}get.
На моей системе (ALM22 + Updates + кое-что backported вручную из Сизифа) ненадёжными rkhunter считает GnuPG 1.2.1 (alt2.1) и OpenSSH 3.4p1 (alt4.2).
С уважением,
Илья Евсеев
------------------------------------------------------
Это programs_bad.dat
~~~~~~~~~~~~~~~~~~~~
000:version:2004091000:
httpd:%1.3.19%1.3.23%1.3.26%1.3.27%1.3.28%1.3.29%2.0.40%2.0.46%2.0.47%2.0.48%2.0.49%:
sshd:%3.4p1%3.5p1%3.6.1p1%3.6.1p2%:
exim:%4.24%:
php:%4.1.2%4.3.0%4.3.1%4.3.2%4.3.3%4.3.4%4.3.5%4.3.6%4.3.7%:
clamd:%0.60%0.62%0.65%:
gpg:%1.0.2%1.0.4%1.0.6%1.0.7%1.2.0%1.2.1%1.2.2%1.2.3%1.3.3%:
named:%8.3.3%8.3.4%8.4.1%:
mc:%%:
procmail:%3.14%3.15.1%%:
proftpd:%1.2.5rc1%1.2.7rc2%1.2.8%1.2.9%:
openssl:%0.9.6%0.9.6b%0.9.6c%0.9.6l%0.9.7a%0.9.7b%0.9.7c%:
------------------------------------------------------
Это programs_good.dat
~~~~~~~~~~~~~~~~~~~~~
000:version:2004091000:
httpd:%1.3.31%2.0.50%:
sshd:%3.1p1%3.7.1p1%3.8p1%3.8.1p1%3.9p1%:
exim:%4.30%4.32%4.34%4.41%:
php:%4.3.8%5.0.0%5.0.1%:
clamd:%0.70%0.72%0.75%0.75.1%:
gpg:%1.2.4%1.2.5%1.2.6%1.3.4%:
named:%8.4.2%8.4.4%:
mc:%4.6.0%:
procmail:%3.15.2%3.22%:
proftpd:%1.2.10rc1%1.2.10rc2%1.2.10rc3%:
openssl:%0.9.7d%0.9.6m%:
^ permalink raw reply [flat|nested] 5+ messages in thread* [devel] Re: Rootkit Hunter - programs_bad.dat
2004-09-25 1:07 [devel] Rootkit Hunter - programs_bad.dat Илья Евсеев
@ 2004-09-25 6:25 ` Michael Shigorin
2004-09-25 8:23 ` Вячеслав Диконов
2004-09-25 9:23 ` [devel] Rootkit Hunter - programs_bad.dat Dmitry V. Levin
1 sibling, 1 reply; 5+ messages in thread
From: Michael Shigorin @ 2004-09-25 6:25 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 859 bytes --]
On Sat, Sep 25, 2004 at 05:07:02AM +0400, Илья Евсеев wrote:
> Складывается впечатление, что programs_bad.dat и
> programs_good.dat вообще надо полностью переписать под Альт и
> обновлять одновременно с выходом security updates в расчёте на
> то, что даже если кто-то ленивый обновляет/экономный только
> rkhunter, тот ему вовремя скажет, что следует обновить или
> отключить что-то ещё.
Есть подозрение, что заботиться о таких -- дело настолько
неблагодарное, что не стоит и пытаться.
Или человек что-то умеет и делает, или платит деньги тем, кто
умеет. Или рано или поздно подводит работодателя и идёт лесом.
А если попытаться -- получим давно изложенный пример с метанием
жемчуга: такое вот чудо ещё и претензии предъявлять полезет.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Re: Rootkit Hunter - programs_bad.dat
2004-09-25 6:25 ` [devel] " Michael Shigorin
@ 2004-09-25 8:23 ` Вячеслав Диконов
2004-09-25 12:50 ` [devel] Sisyphus "sec advisories"? (was: Rootkit Hunter - programs_bad.dat) Michael Shigorin
0 siblings, 1 reply; 5+ messages in thread
From: Вячеслав Диконов @ 2004-09-25 8:23 UTC (permalink / raw)
To: ALT Devel discussion list
В Сбт, 25/09/2004 в 09:25 +0300, Michael Shigorin пишет:
> On Sat, Sep 25, 2004 at 05:07:02AM +0400, Илья Евсеев wrote:
> > Складывается впечатление, что programs_bad.dat и
> > programs_good.dat вообще надо полностью переписать под Альт и
> > обновлять одновременно с выходом security updates в расчёте на
> > то, что даже если кто-то ленивый обновляет/экономный только
> > rkhunter, тот ему вовремя скажет, что следует обновить или
> > отключить что-то ещё.
>
> Есть подозрение, что заботиться о таких -- дело настолько
> неблагодарное, что не стоит и пытаться.
>
> Или человек что-то умеет и делает, или платит деньги тем, кто
> умеет. Или рано или поздно подводит работодателя и идёт лесом.
>
> А если попытаться -- получим давно изложенный пример с метанием
> жемчуга: такое вот чудо ещё и претензии предъявлять полезет.
А вот я сказал бы спасибо за программу, которая по запросу или с
некоторой периодичностью сообщала бы мне о том, что пакеты ХХХ-alt.rpm
желательно срочно обновить по соображениям "безопасности", "снижение
уровня глючности/нестабильности" и "исправлен баг №ХХХХ".
Я обновляю Сизиф примерно раз в месяц, и, поскольку вирусы и отмычки
волнуют меня очень мало, сам тратить силы и время на отслеживание
уязвимостей не могу. Срочно выкачать локальное обновление следуя такому
совету может оказаться хорошим вариантом.
^ permalink raw reply [flat|nested] 5+ messages in thread
* [devel] Sisyphus "sec advisories"? (was: Rootkit Hunter - programs_bad.dat)
2004-09-25 8:23 ` Вячеслав Диконов
@ 2004-09-25 12:50 ` Michael Shigorin
0 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2004-09-25 12:50 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 564 bytes --]
On Sat, Sep 25, 2004 at 12:23:18PM +0400, Вячеслав Диконов wrote:
> А вот я сказал бы спасибо за программу, которая по запросу
> или с некоторой периодичностью сообщала бы мне о том, что
> пакеты ХХХ-alt.rpm желательно срочно обновить по соображениям
> "безопасности", "снижение уровня глючности/нестабильности" и
> "исправлен баг ?ХХХХ".
А, если на Sisyphus обитать? Так это совсем другое, но вполне
возможно начинать с чтения security-announce@.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Rootkit Hunter - programs_bad.dat
2004-09-25 1:07 [devel] Rootkit Hunter - programs_bad.dat Илья Евсеев
2004-09-25 6:25 ` [devel] " Michael Shigorin
@ 2004-09-25 9:23 ` Dmitry V. Levin
1 sibling, 0 replies; 5+ messages in thread
From: Dmitry V. Levin @ 2004-09-25 9:23 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1282 bytes --]
Hi,
On Sat, Sep 25, 2004 at 05:07:02AM +0400, Илья Евсеев wrote:
> Rootkit Hunter, который я сейчас пытаюсь протолкнуть в Инкоминг,
> имеет внутри себя файлик programs_bad.dat, содержащий имена
> и версии приложений, имеющих проблемы с сетевой безопасностью.
К сожалению, в этом файлике не указаны сборки пакетов.
Если эту программу не удастся обучить корректно работать в ситуации, когда
разные релизы одного и того же пакета подвержены разным проблемам, то от
неё никакой пользы не будет.
> Я обращаюсь к мантейнерам соответветствующих пакетов
> со следующей просьбой/вопросом:
> 1) знаете ли вы, за что перечисленные ниже версии признаны ненадежными?
http://cve.mitre.org/cve/
> 2) исправлены ли Альтовские сборки, чтобы об этом можно было не беспокоиться?
Все поддерживаемые пакеты исправлены.
Самый свежий пример неподдерживаемого/неисправленного пакета: apache2.
> Складывается впечатление, что programs_bad.dat и programs_good.dat вообще надо полностью переписать под Альт и обновлять одновременно с выходом security updates в расчёте на то, что даже если кто-то ленивый обновляет/экономный только rkhunter, тот ему вовремя скажет, что следует обновить или отключить что-то ещё.
Может проще подписаться на security-announce@?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2004-09-25 12:50 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-09-25 1:07 [devel] Rootkit Hunter - programs_bad.dat Илья Евсеев
2004-09-25 6:25 ` [devel] " Michael Shigorin
2004-09-25 8:23 ` Вячеслав Диконов
2004-09-25 12:50 ` [devel] Sisyphus "sec advisories"? (was: Rootkit Hunter - programs_bad.dat) Michael Shigorin
2004-09-25 9:23 ` [devel] Rootkit Hunter - programs_bad.dat Dmitry V. Levin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git