ALT Linux Team development discussions
 help / color / mirror / Atom feed
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] severity "security"
Date: Sat, 17 Jun 2006 01:29:07 +0400
Message-ID: <20060616212907.GA22108@basalt.office.altlinux.org> (raw)
In-Reply-To: <44931023.8040102@altlinux.ru>

[-- Attachment #1: Type: text/plain, Size: 5288 bytes --]

On Fri, Jun 16, 2006 at 11:10:11PM +0300, Andrew Kornilov wrote:
> Dmitry V. Levin wrote:
> 
> >Какой в этом смысл?
> >Постящий bug report и так может пометить его как security.
> >
> Отметить "Security Group"? Но ведь, во-первых, никто, кроме этой группы 
> не увидит описание проблемы,

Предполагается, что для этой группы ошибок важна конфиденциальность.

> во-вторых, как мне найти такие уязвимые приложения в поиске?

Отметить эту группу в поиске (если вы входите в соответствующую группу).

> >>Очень хочется видеть, какие же пакеты у нас дырявые на данный момент.
> >
> >Зачем?
> >
> Чтобы видеть, с какими пакетами проблемы. Неработоспособность видна 
> сразу обычно, как быть с безопасностью?

Пойдите на http://cve.mitre.org/cve/ и посмотрите.

> Если бы был некий список 
> уязвимостей приложения и их статуc в Сизифе, было бы проще  узнать, 
> можно ли его использовать в данный момент. Вот кто сходу может ответить, 
> можно ли использовать нашу сборку openvpn? А sshd? А как быть с 
> утилитами типа rkhunter, которые проверяют версию приложения? Он ведь 
> упорно ругается на наш sshd как на уязвимый, хотя это и не так. Кому 
> верить?  Как проверить?

Либо я вас не понял, либо вы наивно полагаете, что дырявость пакета так же
легко проверяется, как и собираемость.

Хотя есть, конечно, разные категории пакетов.
Например, есть такая категория пакетов, про которые известно, что они
дырявые от природы.

Как вы можете проверить, является ли пакет openssh в Сизифе уязвимым?
Это зависит от вашей профессиональной подготовки.

Давайте это проверим.  Ответьте, по возможности, аргументированно на такой
вопрос: подвержен ли уязвимости CVE-2006-2607 пакет vixie-cron в Сизифе?
Как бы вы стали проверять crond на CVE-2006-2607?  Вешать багу на пакет?

> >>bugtraq читают многие, я думаю.
> >
> >Не факт.  Этот список рассылки последнее время стал малоинформативным.
> >
> Но как быть тогда? Аналога полноценного нет.

Это не так.  Есть много списков рассылок, которые вместе взятые дают
достаточно полную картину того, какие пакеты и на какую тему _принято_
исправлять.

> Но это ведь не повод игнорировать вообще проблемы с безопасностью.

Нет, конечно.  Но мне кажется, что ваш взгляд на этот вопрос несколько
упрощённый.  Припоминаю, как несколько лет назад непосредственно перед
релизом какой-то версии Mandrake была найдена какая-то довольно глупая
ошибка в их пакете SysVinit, после чего один пользователь написал в список
рассылки предложение быстренько проверить и устранить оставшиеся дырки. :)

Видите ли, если к безопасности относиться серьёзно, то это сложная
многослойная задача.

> >>Но ситуацию с security, похоже, никто не отслеживает совершенно.
> >
> >Ну, тут вы сильно заблуждаетесь. :)
> >
> Я очень на это надеюсь. Но очень хочется увидеть какие-либо упоминания 
> об этом, а еще лучше результаты.

Я определённо не понимаю, какое упоминание и какой результат вы хотите увидеть.

> >>p.s. Интересно, если, к примеру, если будет выпускаться новый "Master", 
> >>что будет после заморозки? Некие специальные люди будут читать весь 
> >>архив bugtraq и анализировать текущие версии пакетов на предмет 
> >>уязвимостей  или это будет выпущено as is?
> >
> >Коллега, вот я бы на вашем месте подумал, что будет в плане задраивания
> >отверстий в пакетах уже после релиза.
> >
> Не совсем понял. То есть, выпустить дистрибутив с уязвимостями можно, 
> главное, чтобы потом кто-то их исправлял?

Я имею в виду, что исправлять уязвимости в уже выпущенном дистрибутиве
в течение всего срока его жизни существенно сложнее, чем выпустить
дистрибутив с заткнутыми опубликованными дырками.

> >Если бы мантейнеры действительно заботились о безопасности своих пакетов,
> >то вопрос информирования не стоял бы.
> >
> Но ведь активности майнтейнеров недостаточно. Должен (читай: желательно) 
> быть какой-то человек, хоть каким-то образом отвечающий хотя бы за 
> безопасность пакетов.

Что значит "отвечающий"?

> Ведь те же orphaned-пакеты у нас выкидываются из 
> Сизифа без малейшего сожаления, почему бы не выкидывать оттуда и 
> небезопасные приложения (можно ведь и автоматически). Я даже из личного 
> опыта добавлю: у меня хоть и мало пакетов, но следить за их развитием не 
> хватает времени. О проблемах безопасности я узнаю/узнавал случайно. 
> Описание багов  одного приложения проходило в bugtraq за ~ месяц до 
> того, как я узнал о них случайно где-то на форуме или в личном письме, 
> уж не помню. Никто не удосужился уведомить меня о них и в Сизифе было 
> приложения с remote hole. Если внимательно посмотреть, то подобных 
> проблемных пакетов наберётся немало, imho.  Разве это нормально?

Видите ли, пакетов в Сизифе столько, что не интересно не только следить за
безопасностью их всех, но и просто за их именами.
Есть мантейнер не следит за своими пакетами, то это не мантейнер, а
муляж мантейнера.

> p.s. Я повторю вопрос: что будет после "заморозки" среза Сизифа? Будет 
> ли кто-нибудь анализировать срез на предмет безопасности?

Не думаю, что имеет смысл "анализировать срез на предмет безопасности".
Надо просто следить за своими пакетами.

P.S. Всех учу, а самому никак libtiff новый собрать некогда. :(


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

  reply	other threads:[~2006-06-16 21:29 UTC|newest]

Thread overview: 13+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2006-06-16 16:00 Andrew Kornilov
2006-06-16 17:23 ` Michael Shigorin
2006-06-16 18:25 ` Dmitry V. Levin
2006-06-16 20:10   ` Andrew Kornilov
2006-06-16 21:29     ` Dmitry V. Levin [this message]
2006-10-02 17:10       ` Andrew Kornilov
2006-10-02 17:24         ` Michael Shigorin
2006-10-02 17:32         ` Dmitry V. Levin
2006-10-02 19:40         ` Nikolay A. Fetisov
2006-10-03  8:15           ` [devel] [wiki] " Michael Shigorin
2006-10-03 21:32         ` [devel] " Dmitry V. Levin
2006-06-17 12:41     ` Michael Shigorin
2006-10-02 17:20       ` Andrew Kornilov

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20060616212907.GA22108@basalt.office.altlinux.org \
    --to=ldv@altlinux.org \
    --cc=devel@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git