Очередная дыра в поделии

Mazzy · 08-11-10 17:41:41

Svart Testare пишет:

MSE перехватывает этот эксплойт, так что снова кто-то поторопился с истерикой
Exploit:Win32/CVE-2010-3962.A

Да любой антивирус с проактивкой, наверное, перехватит такое.
Ну, Сварт, как же так? То, есть, если есть сигнатура, то эксплоит уже не эксплоит? big_smile
А как до линукса, так опилки летят далеко Как здесь все начинають баянить про дырявость линуха
Да это фейл со стороны МС однозначно. Уже неделю(!!!) висит дыра, а ее закрыть не могут. Зато МСЕ эксплоит блокирует, да big_smile

Отредактировано Mazzy (08-11-10 17:45:58)

Svart Testare · 08-11-10 17:46:54

Mazzy пишет:

Уже неделю(!!!) висит дыра, а ее закрыть не могут.

Почему не могут? В процессе разработки ПО есть ещё такие понятия как severity и schedule, но вы о них, видимо, ничего не знаете.

Mazzy · 08-11-10 18:00:14

Svart Testare пишет:

Почему не могут? В процессе разработки ПО есть ещё такие понятия как severity и schedule, но вы о них, видимо, ничего не знаете.

Сварт, это была проекция типичных для этого ресурса фраз с точностью до наоборот. Только обычно они линуха касаются, а тут и винда подтянулась big_smile Так блин, если Вы такие знающие, что же Вы на линух постоянно наезжаете? Там тоже есть свои списки первоочередных проблем, и баг при тыканьи мышкой в край экрана-ничто по сравнению с безопасностью.

nixadmin · 08-11-10 18:27:55

интересно, какой смысл блочить эксплоит?
насколько я понял он тупо демонстрационный и никакого вреда не несет. Вред будет если юзер откроет письмо или страницу содержащие зловредный код эксплуатирующий данную уязвимость... А так это выглядит как попытка скрыть проблему.

Я считаю что единственно верное решение - скорейший выпуск заплатки и распространение её через WU.

Svart Testare · 08-11-10 18:33:51

Mazzy пишет:

олько обычно они линуха касаются, а тут и винда подтянулась

Вы не понимаете главного: в опенсорсе и линуксе в частности когда что-то фиксят, пусть даже и оперативно, количество новых багов не уменьшается - они продолжают вылазить как из рога изобилия. В случае с продукцией MS, в частности с Windows и её компонентами (IE в данном случае это часть Windows) такого нет - количество уязвимостей в семёрке, например, по сравнению с предыдущими версиями в десятки раз меньше. Это говорит о постоянном улучшении кода.

Mazzy · 08-11-10 18:43:09

Это говорит о Вашей фанатичности smile

Svart Testare пишет:

Вы не понимаете главного: в опенсорсе и линуксе в частности когда что-то фиксят, пусть даже и оперативно, количество новых багов не уменьшается - они продолжают вылазить как из рога изобилия.

Пруф??? Кол-во новых багов не уменьшается потому, что постоянно пихают что-то новое. Все новое глючит поначалу. Сравните хотя бы разницу между Виста-Семерка и Убунту 8.04-Убунту 10.10. Убунтовцы постоянно что-то новое суют в релизы. Что-то выпиили, что-то запилили. Отсюда и множество багов. А семерка менее баганутая потому, что основа, как ни крути-Виста. Принципиальные различия если и есть, то никак не видны обычному пользователю.

Добавлено спустя 03 мин 17 с:
Ну и да, времени на альфа-бета-гамма тесты у той же бунты-несколько месяцев, так как релизы не раз в 3 года. Винду же тестируют гораздо дольше. В этом минус линуха (в частности, Убунту).

usr_share · 08-11-10 18:50:16

Mazzy пишет:

В этом минус линуха (в частности, Убунту).

С этим соглашусь. Но если так сильно нужна стабильность, никто не мешает сидеть на LTS-версиях. К ним исправления багов идут не в течение 1 года, а в течение трёх лет для десктопа и пяти для сервера.

nixadmin · 08-11-10 18:50:22

Mazzy пишет:

Ну и да, времени на альфа-бета-гамма тесты у той же бунты-несколько месяцев, так как релизы не раз в 3 года. Винду же тестируют гораздо дольше. В этом минус линуха (в частности, Убунту).

Ну тут не совсем согласен. Новые релизы это кнешно да, 6 месяцев не много. Но есть у той же убунты LTS который со временем обтачивается, да и на убунте свет клином не сошёлся - Debian Stable вылизан очень даже хорошо.

Svart Testare · 08-11-10 18:56:35

Mazzy пишет:

Все новое глючит поначалу.

Вот я про это и говорю - не только поначалу, но и постоянно так в линуксе. Ибо нет грамотно поставленного процесса разработки и тестирования, в результате которого можно было бы ожидать стабильный продукт.
А за количеством уязвимостей обратитесь на securityfocus.com, например. Там всё очень красноречиво показано.

Mazzy · 08-11-10 19:00:54

Я пользуюсь Убунтой, а потому не стану говорить о других дистрибутивах, не знаю. ЛТС-это хорошо, но все равно после выхода не-лтс основные усилия идут на обкатку нового дистрибутива.
Мне, например, интересно, чего же там нового отвалилось/прикрутили, потому всегда сижу на последних версиях. Посему ССЗБ big_smile Но это на любителя. Хотя то, что использую я, с трудом можно назвать Убунту. Все равно перепиливаю весь внешний вид/оболочки.

nixadmin · 08-11-10 19:03:13

Svart Testare, я уже писал выше что дистров великое множество. Одни строятся с прицелом на самый новый софт, другие с прицелом на стабильность. Надо выбирать под задачи.

Mazzy · 08-11-10 19:04:29

Svart Testare пишет:

Вот я про это и говорю - не только поначалу, но и постоянно так в линуксе. Ибо нет грамотно поставленного процесса разработки и тестирования, в результате которого можно было бы ожидать стабильный продукт.

Почему же нет тестирования, есть оно. А пользователи-то зачем?? big_smile Процесс разработки как раз немногим уступает МС, а вот на тестирование банально не хватает времени. Поэтому есть дистрибутивы, в простонародье называемые "черновыми". То есть те, в которых кардинально что-то меняется. К примеру, та же 10.10. А 11.04 вообще будет чем-то новым, судя по всему.

Svart Testare · 08-11-10 19:07:12

nixadmin пишет:

я уже писал выше что дистров великое множество.

Да зачем дистры? Возьмите только голое ядро — там ассортимент багов предостаточный big_smile

Mazzy пишет:

Почему же нет тестирования, есть оно. А пользователи-то зачем??

Бета-тестирование обезъянками это тестирование, а х.ня на постном масле, простите. Опираться только на его результаты недостаточно. По-хорошему тестирование уже должно начинаться когда требования только создаются, а не когда уже есть бета продукт.

SemyonKozakov · 08-11-10 19:10:24

Svart Testare пишет:

Вот я про это и говорю - не только поначалу, но и постоянно так в линуксе. Ибо нет грамотно поставленного процесса разработки и тестирования, в результате которого можно было бы ожидать стабильный продукт.

Опять газифцируем, мощненько так. Факты, сэр (с)

petrun · 08-11-10 19:12:35

Svart Testare пишет:

По-хорошему тестирование уже должно начинаться когда требования только создаются, а не когда уже есть бета продукт.

Вот убивал бы за подход "сначала напишем тесты, а потом программу".

Отредактировано petrun (08-11-10 19:12:45)

nixadmin · 08-11-10 19:17:29

Svart Testare пишет:

Да зачем дистры? Возьмите только голое ядро — там ассортимент багов предостаточный big_smile

расскажите мне об открытых уязвимостях/глюках в 2.6.36 (оно сейчас Latest Stable).

Svart Testare · 08-11-10 19:28:49

Mandriva-oid пишет:

Опять газифцируем, мощненько так. Факты, сэр (с)

Расскажите нам как в линуксе проходит процесс тестирования — поэтапно, в подробностях.
В случае с продуктами MS это открытая инфа:
www.microsoft.com/learning/en/us/book.a … cale=en-us
И на youtube есть видео на эту тему. Процесс прозрачен, стандартизирован и оптимизируется. В линуксе же жопа.

petrun пишет:

Вот убивал бы за подход "сначала напишем тесты, а потом программу".

Неудивительно, что вам больше по душе неорганизованность и стремление избегать современных методов разработки и тестирования. Динозаврия и некрофилия же smile

nixadmin пишет:

расскажите мне об открытых уязвимостях/глюках в 2.6.36 (оно сейчас Latest Stable).

Я же давал ссылку на securityfocus.com. Там очень удобно можно выбрать нужную версию ядра и посмотреть что за уязвимости.

Mazzy · 08-11-10 19:31:09

Svart Testare пишет:

Расскажите нам как в линуксе проходит процесс тестирования

Господи, а что же тут не понятно? Альфа-версия минус найденные баги=Бета-версия
Бета-версияминус еще баги=кандидат-релиз
Кандидат-релиз минус остаток багов=релиз.
Высшая математика smile

SemyonKozakov · 08-11-10 19:31:38

Svart Testare пишет:

Расскажите нам как в линуксе проходит процесс тестирования — поэтапно, в подробностях.

Великий и УЖасный, не переводите стрелки. Раз говорите, что

Svart Testare пишет:

В линуксе же жопа.

То у вас должны быть факты!

Добавлено спустя 03 мин 35 с:

Svart Testare пишет:

Я же давал ссылку на securityfocus.com. Там очень удобно можно выбрать нужную версию ядра и посмотреть что за уязвимости.

Ссылки на уязвимости в 2.6.36. Желательно, незакрытые.

msAVA · 08-11-10 20:53:54

Svart Testare пишет:

в опенсорсе и линуксе в частности когда что-то фиксят, пусть даже и оперативно, количество новых багов не уменьшается - они продолжают вылазить как из рога изобилия.

Да? Вот iptables, работает на уровне ядра, отвечает, понятно, за безопасность, багов нет с 2006 года, т.е. уже 6 лет.
Не поделитесь багами в bash или vim, bc, GnuPlot?

Lord_Evil · 08-11-10 21:03:14

msAVA пишет:

багов нет с 2006 года, т.е. уже 6 лет.

О.о долго считал?

Добавлено спустя 01 мин 38 с:

Svart Testare пишет:

Я же давал ссылку на securityfocus.com. Там очень удобно можно выбрать нужную версию ядра и посмотреть что за уязвимости.

Запостить сплоит виндового ядра, где дыра живет уже 20 лет?
Если кое-что, кое-где не отключить, то сплоит позволит целевому коду ебошить твой вИндус с правами system. Вероятно эта бага где-то уже обсуждалась тут или "там", но я вот код надыбал эксплуатации)

Rorschach · 08-11-10 21:41:13

msAVA пишет:

Да? Вот iptables, работает на уровне ядра, отвечает, понятно, за безопасность, багов нет с 2006 года, т.е. уже 6 лет.

Арифметика такая армфметика.

Отредактировано Rorschach (08-11-10 21:41:35)

Svart Testare · 08-11-10 21:46:51

msAVA пишет:

Да? Вот iptables, работает на уровне ядра, отвечает, понятно, за безопасность, багов нет с 2006 года, т.е. уже 6 лет.

Нет функционала = нет багов. Очевидно же. Если код не меняется, то откуда взяться новым багам? big_smile

Добавлено спустя 06 мин 24 с:

Gentoo пишет:

Запостить сплоит виндового ядра, где дыра живет уже 20 лет?

Давайте! А потом почитаете описание этой уязвимости и окажется, что её невозможно эксплуатировать просто так.

Gentoo пишет:

Если кое-что, кое-где не отключить, то сплоит позволит целевому коду ебошить твой вИндус с правами system

Ага, а если пользователям линукса дать права рута, то от линукса через 5 минут ничего не останется.

По теме: была найдена и описана уязвимость, которую поставили в очередь на исправление в соответствии с её серьёзностью: абсолютно нормальный, закономерный подход в цикле поддержки ПО. Некоторые истерики (не будем показывать пальцами) попытались представить это здесь как нечто ужасное масштаба конца света. Как известно, когда человек чего-то не знает, он начинает демонизировать и мистифицировать это что-то — прекрасный пример с древними людьми и солнечными затмениями, которых панически боялись. Так сейчас ведут себя и линуксоиды, которые не разобравшись в предмете сеют панику и насаждают хаос smile

Майор Очевидность · 08-11-10 21:55:30

Svart Testare пишет:

Так сейчас ведут себя и линуксоиды, которые не разобравшись в предмете сеют панику и насаждают хаос

а, т.е. "виндузоиды" здесь на ресурсе ведут себя как-то по-другому, да? smile

Отредактировано Майор Очевидность (08-11-10 21:55:45)

Svart Testare · 08-11-10 21:57:34

Майор Очевидность пишет:

а, т.е. "виндузоиды" здесь на ресурсе ведут себя как-то по-другому, да?

Мы же развенчиваем мифы о Линуксе — в частности миф о её сверхбезопасности и надёжности. Бездонное количество багов в самом ядре и опесосном софте — яркая тому иллюстрация.

Форум StopLinux

Объявление

#26 08-11-10 17:41:41

Re: Очередная дыра в поделии

#27 08-11-10 17:46:54

Re: Очередная дыра в поделии

#28 08-11-10 18:00:14

Re: Очередная дыра в поделии

#29 08-11-10 18:27:55

Re: Очередная дыра в поделии

#30 08-11-10 18:33:51

Re: Очередная дыра в поделии

#31 08-11-10 18:43:09

Re: Очередная дыра в поделии

#32 08-11-10 18:50:16

Re: Очередная дыра в поделии

#33 08-11-10 18:50:22

Re: Очередная дыра в поделии

#34 08-11-10 18:56:35

Re: Очередная дыра в поделии

#35 08-11-10 19:00:54

Re: Очередная дыра в поделии

#36 08-11-10 19:03:13

Re: Очередная дыра в поделии

#37 08-11-10 19:04:29

Re: Очередная дыра в поделии

#38 08-11-10 19:07:12

Re: Очередная дыра в поделии

#39 08-11-10 19:10:24

Re: Очередная дыра в поделии

#40 08-11-10 19:12:35

Re: Очередная дыра в поделии

#41 08-11-10 19:17:29

Re: Очередная дыра в поделии

#42 08-11-10 19:28:49

Re: Очередная дыра в поделии

#43 08-11-10 19:31:09

Re: Очередная дыра в поделии

#44 08-11-10 19:31:38

Re: Очередная дыра в поделии

#45 08-11-10 20:53:54

Re: Очередная дыра в поделии

#46 08-11-10 21:03:14

Re: Очередная дыра в поделии

#47 08-11-10 21:41:13

Re: Очередная дыра в поделии

#48 08-11-10 21:46:51

Re: Очередная дыра в поделии

#49 08-11-10 21:55:30

Re: Очередная дыра в поделии

#50 08-11-10 21:57:34

Re: Очередная дыра в поделии

Подвал форума