From: "Dmitry V. Levin" <ldv@altlinux.org> To: ALT Devel discussion list <devel@lists.altlinux.org> Subject: Re: [devel] severity "security" Date: Sat, 17 Jun 2006 01:29:07 +0400 Message-ID: <20060616212907.GA22108@basalt.office.altlinux.org> (raw) In-Reply-To: <44931023.8040102@altlinux.ru> [-- Attachment #1: Type: text/plain, Size: 5288 bytes --] On Fri, Jun 16, 2006 at 11:10:11PM +0300, Andrew Kornilov wrote: > Dmitry V. Levin wrote: > > >Какой в этом смысл? > >Постящий bug report и так может пометить его как security. > > > Отметить "Security Group"? Но ведь, во-первых, никто, кроме этой группы > не увидит описание проблемы, Предполагается, что для этой группы ошибок важна конфиденциальность. > во-вторых, как мне найти такие уязвимые приложения в поиске? Отметить эту группу в поиске (если вы входите в соответствующую группу). > >>Очень хочется видеть, какие же пакеты у нас дырявые на данный момент. > > > >Зачем? > > > Чтобы видеть, с какими пакетами проблемы. Неработоспособность видна > сразу обычно, как быть с безопасностью? Пойдите на http://cve.mitre.org/cve/ и посмотрите. > Если бы был некий список > уязвимостей приложения и их статуc в Сизифе, было бы проще узнать, > можно ли его использовать в данный момент. Вот кто сходу может ответить, > можно ли использовать нашу сборку openvpn? А sshd? А как быть с > утилитами типа rkhunter, которые проверяют версию приложения? Он ведь > упорно ругается на наш sshd как на уязвимый, хотя это и не так. Кому > верить? Как проверить? Либо я вас не понял, либо вы наивно полагаете, что дырявость пакета так же легко проверяется, как и собираемость. Хотя есть, конечно, разные категории пакетов. Например, есть такая категория пакетов, про которые известно, что они дырявые от природы. Как вы можете проверить, является ли пакет openssh в Сизифе уязвимым? Это зависит от вашей профессиональной подготовки. Давайте это проверим. Ответьте, по возможности, аргументированно на такой вопрос: подвержен ли уязвимости CVE-2006-2607 пакет vixie-cron в Сизифе? Как бы вы стали проверять crond на CVE-2006-2607? Вешать багу на пакет? > >>bugtraq читают многие, я думаю. > > > >Не факт. Этот список рассылки последнее время стал малоинформативным. > > > Но как быть тогда? Аналога полноценного нет. Это не так. Есть много списков рассылок, которые вместе взятые дают достаточно полную картину того, какие пакеты и на какую тему _принято_ исправлять. > Но это ведь не повод игнорировать вообще проблемы с безопасностью. Нет, конечно. Но мне кажется, что ваш взгляд на этот вопрос несколько упрощённый. Припоминаю, как несколько лет назад непосредственно перед релизом какой-то версии Mandrake была найдена какая-то довольно глупая ошибка в их пакете SysVinit, после чего один пользователь написал в список рассылки предложение быстренько проверить и устранить оставшиеся дырки. :) Видите ли, если к безопасности относиться серьёзно, то это сложная многослойная задача. > >>Но ситуацию с security, похоже, никто не отслеживает совершенно. > > > >Ну, тут вы сильно заблуждаетесь. :) > > > Я очень на это надеюсь. Но очень хочется увидеть какие-либо упоминания > об этом, а еще лучше результаты. Я определённо не понимаю, какое упоминание и какой результат вы хотите увидеть. > >>p.s. Интересно, если, к примеру, если будет выпускаться новый "Master", > >>что будет после заморозки? Некие специальные люди будут читать весь > >>архив bugtraq и анализировать текущие версии пакетов на предмет > >>уязвимостей или это будет выпущено as is? > > > >Коллега, вот я бы на вашем месте подумал, что будет в плане задраивания > >отверстий в пакетах уже после релиза. > > > Не совсем понял. То есть, выпустить дистрибутив с уязвимостями можно, > главное, чтобы потом кто-то их исправлял? Я имею в виду, что исправлять уязвимости в уже выпущенном дистрибутиве в течение всего срока его жизни существенно сложнее, чем выпустить дистрибутив с заткнутыми опубликованными дырками. > >Если бы мантейнеры действительно заботились о безопасности своих пакетов, > >то вопрос информирования не стоял бы. > > > Но ведь активности майнтейнеров недостаточно. Должен (читай: желательно) > быть какой-то человек, хоть каким-то образом отвечающий хотя бы за > безопасность пакетов. Что значит "отвечающий"? > Ведь те же orphaned-пакеты у нас выкидываются из > Сизифа без малейшего сожаления, почему бы не выкидывать оттуда и > небезопасные приложения (можно ведь и автоматически). Я даже из личного > опыта добавлю: у меня хоть и мало пакетов, но следить за их развитием не > хватает времени. О проблемах безопасности я узнаю/узнавал случайно. > Описание багов одного приложения проходило в bugtraq за ~ месяц до > того, как я узнал о них случайно где-то на форуме или в личном письме, > уж не помню. Никто не удосужился уведомить меня о них и в Сизифе было > приложения с remote hole. Если внимательно посмотреть, то подобных > проблемных пакетов наберётся немало, imho. Разве это нормально? Видите ли, пакетов в Сизифе столько, что не интересно не только следить за безопасностью их всех, но и просто за их именами. Есть мантейнер не следит за своими пакетами, то это не мантейнер, а муляж мантейнера. > p.s. Я повторю вопрос: что будет после "заморозки" среза Сизифа? Будет > ли кто-нибудь анализировать срез на предмет безопасности? Не думаю, что имеет смысл "анализировать срез на предмет безопасности". Надо просто следить за своими пакетами. P.S. Всех учу, а самому никак libtiff новый собрать некогда. :( -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]
next prev parent reply other threads:[~2006-06-16 21:29 UTC|newest] Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-06-16 16:00 Andrew Kornilov 2006-06-16 17:23 ` Michael Shigorin 2006-06-16 18:25 ` Dmitry V. Levin 2006-06-16 20:10 ` Andrew Kornilov 2006-06-16 21:29 ` Dmitry V. Levin [this message] 2006-10-02 17:10 ` Andrew Kornilov 2006-10-02 17:24 ` Michael Shigorin 2006-10-02 17:32 ` Dmitry V. Levin 2006-10-02 19:40 ` Nikolay A. Fetisov 2006-10-03 8:15 ` [devel] [wiki] " Michael Shigorin 2006-10-03 21:32 ` [devel] " Dmitry V. Levin 2006-06-17 12:41 ` Michael Shigorin 2006-10-02 17:20 ` Andrew Kornilov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20060616212907.GA22108@basalt.office.altlinux.org \ --to=ldv@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git