Design Errors — лицо Linux

Svart Testare · 09-11-10 09:00:36

Вчера кое-кто пытался убедить общественность в том, что якобы критическая уязвимость в Windows, висящая неделю (хотя благополучно при этом блокируемая бесплатным антивирусом MSE до выхода патча) — это нечто страшное и ужасное. При этом упоминалось последнее ядро .36 в контексте мол попробуйте найти в нём серьёзные уязвимости.
Ну, что ж, посмотрим что день грядущий нам готовит smile
Заходим на securityfocus.com (на который я неоднократно отсылал собеседников, но они упорно игнорировали ссылку) и смотрим по Linux → Kernel → 2.6.36.

Итак, 10 уязвимостей!
Посмотрим их классификацию:

www.securityfocus.com/bid/44642 — Boundary Condition Error (есть патч)
www.securityfocus.com/bid/44661 — Design Error (о патче сайту ничего не известно, хотя уязвимость уже существует 5 дней)
www.securityfocus.com/bid/44665 — Failure to Handle Exceptional Conditions (есть патч)
www.securityfocus.com/bid/44666 — Design Error (есть патч)
www.securityfocus.com/bid/44630 — Design Error (о патче сайту ничего не известно, хотя уязвимость существует уже 7 (!!!) дней)
www.securityfocus.com/bid/44549 — Boundary Condition Error (о патче сайту ничего не известно, хотя уязвимость существует уже 11 (блять, 11!!!) дней
www.securityfocus.com/bid/44242 — Design Error (есть патч)
www.securityfocus.com/bid/44648 — Boundary Condition Error (есть патч)
www.securityfocus.com/bid/44354 — Boundary Condition Error (о патче сайту ничего не известно, хотя уязвимость существует уже 18 (нет слов, одни выражения!) дней
www.securityfocus.com/bid/44301 — Design Error (есть патч)

Итого имеем 10 описанных уязвимостей в последней стабильной версии ядра. Половина этих уязвимостей — дефекты дизайна (вот оно истинное лицо опенсорса и Linux в частности). Четыре уязвимости возрастом 5,7, 11 и 18 дней до сих пор не исправлены. И, внимание, это только голое и бесполезное ядро! Если копнуть глубже и посмотреть, например, уязвимости открытые в .35 версии (или раньше), наверняка найдутся ещё несколько design error-ов, которые до сих пор не исправлены.

И кто после этого вселенского позора смеет ещё рассказывать про то, как миллионы красных глаз сообщества неустанно мониторят код и фиксят его чуть ли не раньше появления уязвимостей? А про «дырявость» Windows здесь вообще говорить смешно и неуместно.

P.S: Предпоследний баг (которому 18 дней) имеет сочное описание:

Attackers can exploit this issue to execute arbitrary code with SYSTEM-level privileges, facilitating the complete compromise of affected computers. Failed exploit attempts will likely crash the affected application, denying service to legitimate users.

Вот он суперпупернадёжный Linux! lol

SemyonKozakov · 09-11-10 09:09:58

Сварт, вас так задел вчерашний спор про дыры в IE? big_smile

Svart Testare пишет:

И, внимание, это только голое и бесполезное ядро!

ВНЕЗАПНО в голом и бесполезном ядре есть куча драйверов (в которых и находят едва ли не половину уязивмостей), поддержка различных технологий,итд.

Svart Testare пишет:

И кто после этого вселенского позора смеет ещё рассказывать про то, как миллионы красных глаз сообщества неустанно мониторят код и фиксят его чуть ли не раньше появления уязвимостей

Вселенского позора? Сварт, уберите увеличительное стекло. 4 открытые уязвисости (из которых 3 локальные), это конечно повод люто истерить smile

Svart Testare · 09-11-10 09:12:51

Mandriva-oid пишет:

ВНЕЗАПНО в голом и бесполезном ядре есть куча драйверов

И что? Кто использует только голое ядро с кучей драверов?

Mandriva-oid пишет:

4 открытые уязвисости (из которых 3 локальные), это конечно повод люто истерить

Я не сомневался, что для линукссообщества дыры по 11-18 дней это норма lol

DonDublon3 · 09-11-10 09:33:07

Mandriva-oid пишет:

ВНЕЗАПНО в голом и бесполезном ядре есть куча драйверов

Охренеть дизайн, дрова в ядро пихать big_smile

usr_share · 09-11-10 10:23:10

DonDublon3 пишет:

Охренеть дизайн, дрова в ядро пихать

Вообще-то драйвера в ядре Linux -- это модули ядра, которые можно по отдельности собирать либо как модули, либо как монолитные части ядра. Почти во всех дистрах Linux драйвера собирают именно как модули. Но разрабатываются они как часть ядра Linux вместе с этим ядром.

Кстати, на моей убунте эксплоит к последней уязвимости (которой 18 дней) даже от рута не работает big_smile

Отредактировано usr_share (09-11-10 10:26:25)

msAVA · 09-11-10 11:18:27

DonDublon3 пишет:

Охренеть дизайн, дрова в ядро пихать

А куда их пихать? Minix всё ещё не для работы.

nixadmin · 09-11-10 12:28:54

Svart Testare пишет:

www.securityfocus.com/bid/44354 — Boundary Condition Error (о патче сайту ничего не известно, хотя уязвимость существует уже 18 (нет слов, одни выражения!) дней

Патч. Судя по редхатовской багзиле патч уже в апстриме.

Svart Testare · 09-11-10 14:28:51

nixadmin пишет:

Патч. Судя по редхатовской багзиле патч уже в апстриме.

Ага, для всех незакрытых багов сразу lol

Добавлено спустя 05 мин 09 с:
nixadmin,
18-дневный баг НЕ ИСПРАВЛЕН:
bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3859
Так шо ни нада ляля. Дырища на весь мир! lol

nixadmin · 09-11-10 14:41:51

Svart Testare, я кидал ссылку на патч. да и tipc вещь специфичная == подвержено небольшое колличество хостов данной уязвимости

Svart Testare · 09-11-10 14:45:55

nixadmin,
Предложенное решение по вашей ссылке пока не отражено в статусе официального бага по адресу:
bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3859
Кроме того, даже несмотря на специфичность, список уязвимых версий ядра бесстыден. И куда смотрели МКГ?
Ну а остальные что же? 11, 7 и 5 дней тоже не шутка.

nixadmin · 09-11-10 14:50:38

Svart Testare, что бесстыдного в предложенном списке? нашли багу - поправят во всех поддерживаемых версиях.
Остальные гляну когда буду дома.

Svart Testare · 09-11-10 14:55:34

nixadmin пишет:

что бесстыдного в предложенном списке? нашли багу - поправят во всех поддерживаемых версиях.

Ну действительно, что бесстыдного? lol Зато когда аналогичное про Windows (что, в принципе, вообще архиредкость, чтобы столько версий сразу затрагивало), так это вызывает прям какое-то нездоровое ликование у линуксоидов lol

nixadmin · 09-11-10 15:18:08

ну если считать IE (версии 6,7,8) компаннентом виндовс smile
Я вот могу сказать наоборот, что найденые в Linux уязвимости вызывают нездоровое ликование в стане виндузятников))

Svart Testare · 09-11-10 15:26:18

nixadmin пишет:

Я вот могу сказать наоборот, что найденые в Linux уязвимости вызывают нездоровое ликование в стане виндузятников))

Это всего лишь иллюстрация того, что в линуксе своих серьёзных дыр навалом и со временем их количество не спешит уменьшаться big_smile

nixadmin · 09-11-10 15:40:14

Svart Testare пишет:

Это всего лишь иллюстрация того, что в линуксе своих серьёзных дыр навалом и со временем их количество не спешит уменьшаться big_smile

Найдена дыра в линукс == "линукс дырявое решето"
Найдена дыра в виндовс == "это всего лишь истерия линуксоидов"

Я Вас правильно понял? big_smile

Svart Testare · 09-11-10 15:42:36

nixadmin пишет:

Я Вас правильно понял?

Учитывая низкую частоту таких открытий в Windows — совершенно правильно.

nixadmin · 09-11-10 15:58:40

ну по поводу низкая-высокая частота обнаружения дыр - холиварить лень.

Скажу другое, в большинстве случаев на данном форуме описывают уязвимости либо в очень специфичных программах/модулях (тот же tipc), либо откровенно неработающие (ошибка glibc затрагивающая ftp-сервера), либо вообще закрытые smile

nixadmin · 09-11-10 18:14:14

Host:Dir# lsmod | grep tipc
Host:Dir#

уязвимость в модуле tipc работать не будет в моей системе

Отредактировано nixadmin (09-11-10 18:17:12)

Linfan · 09-11-10 18:36:36

Половина этих уязвимостей — дефекты дизайна (вот оно истинное лицо опенсорса и Linux в частности).

Сварт, вы таки не шарите в программировании ))))))))))))))) Такого типа ошибки принципиально не возможно заявить для венды ибо код закрыт, а найти их иначе как читая исходники нереально.
И опять же - чтобы добраться к проблемам в ядре, нужно получиь удаленный доступ. Само поминание антивиря в вашем контексте - полный и безоговорочный слив в плане безопасности венды и якобы отличного дизайна ее кода.

Добавлено спустя 03 мин 21 с:

Дестер пишет:

Не повезло. Попробуй другой дистрибутив.

пробовал на убунте 10.04 и 10.10 - тоже фейл. Опять не повезло? wink
Во какие неправильные линуксы пошли - Свар трубит про ашипки, а их нету в самых распространенных дистрах lol

"Здесь описывают вполне работающие уязвимости." (с) пианэр с шампанским и говнометом
как-то так lol

Отредактировано Linfan (09-11-10 18:42:19)

Svart Testare · 09-11-10 18:59:06

Linfan пишет:

Такого типа ошибки принципиально не возможно заявить для венды ибо код закрыт

А мы не о Windows говорим, а об уже фактических ошибках в ядре Linux, которые известный ресурс Security Focus классифицирует как Design Error. Так что не нужно стрелки переводить и что-то мудрить.

Linfan пишет:

Во какие неправильные линуксы пошли - Свар трубит про ашипки, а их нету в самых распространенных дистрах

Я всё же скорее поверю уважаемому ресурсу по безопасности, чем вам. Вероятнее всего, что вы просто не знаете как воспроизвести тот или иной баг.

Добавлено спустя 01 мин 39 с:

nixadmin пишет:

ну по поводу низкая-высокая частота обнаружения дыр - холиварить лень.

А и не нужно холиварить — вы просто не сможете привести достаточное количество уязвимостей в Windows, которые бы переходили из версии в версию на протяжении многих лет. Ибо нет такого засилья подобных багов в Windows.

Майор Очевидность · 09-11-10 19:03:57

Svart Testare пишет:

вы просто не сможете привести достаточное количество уязвимостей в Windows, которые бы переходили из версии в версию

хм... "достаточное" — это сколько? озвучьте число, пожалуйста.

Отредактировано Майор Очевидность (09-11-10 19:05:41)

Svart Testare · 09-11-10 19:08:59

Майор Очевидность пишет:

хм... "достаточное" — это сколько? озвучьте число, пожалуйста.

Хотя бы 5 открытых, путешествующих чуть ли не с Windows 2000. Ну и естественно критических.

SemyonKozakov · 09-11-10 19:16:09

Svart Testare пишет:

А и не нужно холиварить — вы просто не сможете привести достаточное количество уязвимостей в Windows, которые бы переходили из версии в версию на протяжении многих лет. Ибо нет такого засилья подобных багов в Windows.

А вы, уважаемые, сначала поглядите на том же SecurityFocus smile

Добавлено спустя 01 мин 54 с:
Чтобы далеко не ходить: www.securityfocus.com/bid/44357
18 октября. Подвержены все ОС вплоть до Windows 7. Решения нет. И?

И если судить по вашей логике, Великий, то следовало писать так: "Смотрите! Удалённой уязвимости ДВАДЦАТЬ ДНЕЙ, и она не закрыта! Торжество виндовс-идиотизма" и прочее-прочее smile

Добавлено спустя 06 мин 08 с:
Ну или вот до кучи: www.securityfocus.com/bid/36935. Правда тут решение есть.

Отредактировано SemyonKozakov (09-11-10 19:20:44)

Svart Testare · 09-11-10 19:22:24

Mandriva-oid пишет:

Решения нет

Решения нет, но с помощью MSE уязвимость заблокирована в тот же день. В Linux этого невозможно.
Видите разницу?
И, кстати, уязвимости подверждены не «все ОС», а только Vista и 7.

SemyonKozakov · 09-11-10 19:23:35

Svart Testare пишет:

Решения нет, но с помощью MSE уязвимость заблокирована в тот же день. В Linux этого невозможно.

Доо? Срочно гуглить на тему SELinux.

Форум StopLinux

Объявление

#1 09-11-10 09:00:36

Design Errors — лицо Linux

#2 09-11-10 09:09:58

Re: Design Errors — лицо Linux

#3 09-11-10 09:12:51

Re: Design Errors — лицо Linux

#4 09-11-10 09:33:07

Re: Design Errors — лицо Linux

#5 09-11-10 10:23:10

Re: Design Errors — лицо Linux

#6 09-11-10 11:18:27

Re: Design Errors — лицо Linux

#7 09-11-10 12:28:54

Re: Design Errors — лицо Linux

#8 09-11-10 14:28:51

Re: Design Errors — лицо Linux

#9 09-11-10 14:41:51

Re: Design Errors — лицо Linux

#10 09-11-10 14:45:55

Re: Design Errors — лицо Linux

#11 09-11-10 14:50:38

Re: Design Errors — лицо Linux

#12 09-11-10 14:55:34

Re: Design Errors — лицо Linux

#13 09-11-10 15:18:08

Re: Design Errors — лицо Linux

#14 09-11-10 15:26:18

Re: Design Errors — лицо Linux

#15 09-11-10 15:40:14

Re: Design Errors — лицо Linux

#16 09-11-10 15:42:36

Re: Design Errors — лицо Linux

#17 09-11-10 15:58:40

Re: Design Errors — лицо Linux

#18 09-11-10 18:14:14

Re: Design Errors — лицо Linux

#19 09-11-10 18:36:36

Re: Design Errors — лицо Linux

#20 09-11-10 18:59:06

Re: Design Errors — лицо Linux

#21 09-11-10 19:03:57

Re: Design Errors — лицо Linux

#22 09-11-10 19:08:59

Re: Design Errors — лицо Linux

#23 09-11-10 19:16:09

Re: Design Errors — лицо Linux

#24 09-11-10 19:22:24

Re: Design Errors — лицо Linux

#25 09-11-10 19:23:35

Re: Design Errors — лицо Linux

Подвал форума