From: Andrew Kornilov <hiddenman@altlinux.ru>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] severity "security"
Date: Fri, 16 Jun 2006 23:10:11 +0300
Message-ID: <44931023.8040102@altlinux.ru> (raw)
In-Reply-To: <20060616182556.GB18690@basalt.office.altlinux.org>
Dmitry V. Levin wrote:
>Какой в этом смысл?
>Постящий bug report и так может пометить его как security.
>
>
Отметить "Security Group"? Но ведь, во-первых, никто, кроме этой группы
не увидит описание проблемы, во-вторых, как мне найти такие уязвимые
приложения в поиске?
>>Очень хочется видеть, какие же пакеты у нас дырявые на данный момент.
>>
>>
>
>Зачем?
>
>
Чтобы видеть, с какими пакетами проблемы. Неработоспособность видна
сразу обычно, как быть с безопасностью? Если бы был некий список
уязвимостей приложения и их статуc в Сизифе, было бы проще узнать,
можно ли его использовать в данный момент. Вот кто сходу может ответить,
можно ли использовать нашу сборку openvpn? А sshd? А как быть с
утилитами типа rkhunter, которые проверяют версию приложения? Он ведь
упорно ругается на наш sshd как на уязвимый, хотя это и не так. Кому
верить? Как проверить?
>>bugtraq читают многие, я думаю.
>>
>>
>
>Не факт. Этот список рассылки последнее время стал малоинформативным.
>
>
Но как быть тогда? Аналога полноценного нет. Но это ведь не повод
игнорировать вообще проблемы с безопасностью.
>>Но ситуацию с security, похоже, никто не отслеживает совершенно.
>>
>>
>
>Ну, тут вы сильно заблуждаетесь. :)
>
>
Я очень на это надеюсь. Но очень хочется увидеть какие-либо упоминания
об этом, а еще лучше результаты.
>>p.s. Интересно, если, к примеру, если будет выпускаться новый "Master",
>>что будет после заморозки? Некие специальные люди будут читать весь
>>архив bugtraq и анализировать текущие версии пакетов на предмет
>>уязвимостей или это будет выпущено as is?
>>
>>
>
>Коллега, вот я бы на вашем месте подумал, что будет в плане задраивания
>отверстий в пакетах уже после релиза.
>
>
Не совсем понял. То есть, выпустить дистрибутив с уязвимостями можно,
главное, чтобы потом кто-то их исправлял?
>Если бы мантейнеры действительно заботились о безопасности своих пакетов,
>то вопрос информирования не стоял бы.
>
>
>
Но ведь активности майнтейнеров недостаточно. Должен (читай: желательно)
быть какой-то человек, хоть каким-то образом отвечающий хотя бы за
безопасность пакетов. Ведь те же orphaned-пакеты у нас выкидываются из
Сизифа без малейшего сожаления, почему бы не выкидывать оттуда и
небезопасные приложения (можно ведь и автоматически). Я даже из личного
опыта добавлю: у меня хоть и мало пакетов, но следить за их развитием не
хватает времени. О проблемах безопасности я узнаю/узнавал случайно.
Описание багов одного приложения проходило в bugtraq за ~ месяц до
того, как я узнал о них случайно где-то на форуме или в личном письме,
уж не помню. Никто не удосужился уведомить меня о них и в Сизифе было
приложения с remote hole. Если внимательно посмотреть, то подобных
проблемных пакетов наберётся немало, imho. Разве это нормально?
p.s. Я повторю вопрос: что будет после "заморозки" среза Сизифа? Будет
ли кто-нибудь анализировать срез на предмет безопасности?
next prev parent reply other threads:[~2006-06-16 20:10 UTC|newest]
Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-06-16 16:00 Andrew Kornilov
2006-06-16 17:23 ` Michael Shigorin
2006-06-16 18:25 ` Dmitry V. Levin
2006-06-16 20:10 ` Andrew Kornilov [this message]
2006-06-16 21:29 ` Dmitry V. Levin
2006-10-02 17:10 ` Andrew Kornilov
2006-10-02 17:24 ` Michael Shigorin
2006-10-02 17:32 ` Dmitry V. Levin
2006-10-02 19:40 ` Nikolay A. Fetisov
2006-10-03 8:15 ` [devel] [wiki] " Michael Shigorin
2006-10-03 21:32 ` [devel] " Dmitry V. Levin
2006-06-17 12:41 ` Michael Shigorin
2006-10-02 17:20 ` Andrew Kornilov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=44931023.8040102@altlinux.ru \
--to=hiddenman@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git