ZP LUG - Группа пользователей GNU/Linux г. Запорожья

Уязвимости в ядре Linux и нужно ли их хранить в тайне - Форум LUG славного города Запорожье

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Архив - только для чтения
Форум LUG славного города Запорожье » Информационный раздел » Новости из мира *NIX » Уязвимости в ядре Linux и нужно ли их хранить в тайне (Рассуждения на вечные темы неисчерпываемые темы)
Уязвимости в ядре Linux и нужно ли их хранить в тайне
RavenДата: Понедельник, 21.07.2008, 11:18 | Сообщение # 1
Администратор
Группа: Администраторы
Сообщений: 420
Репутация: 14
Статус: Offline
После анонса 2.6.25.10 релиза стабильной версии ядра, Greg Kroah-Hartman в сопроводительном тексте обратил внимание (http://lkml.org/lkml/2008/7/3/40) на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связана с устранением многочисленных уязвимостей, стало известно только спустя неделю, после публикации отчетов (http://secunia.com/advisories/31048/) о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил (http://kerneltrap.org/Linux/Security_...) продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка (http://kerneltrap.org/node/4540). Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.

Источники: http://kerneltrap.org, http://www.opennet.ru


 
icq status
RavenДата: Понедельник, 21.07.2008, 12:27 | Сообщение # 2
Администратор
Группа: Администраторы
Сообщений: 420
Репутация: 14
Статус: Offline
Тема IT-безопасности немаловажна, а критическое отношение к ней делает ее одной из самых жарких. Во многих новостных полосах, любящий вырывать слова из контекста, появилась забавное заявление Линуса Торвальдса: "разработчики OpenBSD - стадо мастурбирующих обезьян".

Кто знает английский язык на уровне, уже улыбается, ибо вышеприведенное выражение есть дословный перевод, а на деле "masturbating monkey" - устойчивое выражение, означающее, что кто-то зациклен на чем-то одном и не обращает внимание на все остальное. В данном случае имелась ввиду маниакальная фокусировка на безопасности и аудите, разработчиков OpenBSD, которые особенно раздражают Торвальдса. Опять же дословный перевод: "Я думаю, что OpenBSD это стадо мастурбирующих обезьян, которые считают себя важными из-за концентрации на безопасности. Для меня безопасность важна. Но она не более важна чем всё остальное", - заключил Торвальдс.

Позже было заявлено, что Торвальдс извинился перед разработчиками OpenBSD за сленг. biggrin

Так же в рассылке разработчикам ядра Linux Торвальдс написал, что часть индустрии безопасности направлена на нахождение уязвимостей только для того, чтобы опубликовать информацию о них и привлечь к себе внимание. Это заявление было ответом на публикацию PaX Team, которая обвинила Торвальдса и других ведущих разработчиков ядра Линукс в "сокрытии влияния багов на безопасность".

Торвальдс написал, что раскрытие самих ошибок уже само по себе достаточно, без того чтобы маркировать каждую из них как дыру в безопасности. Он добавил, что преувеличение значения определённых ошибок только "цирк безопасности". "Это делает из людей занимающихся безопасностью героев, как будто бы люди которые закрывают обычные баги не так важны", - написал Торвальдс.

"Устранение обычных ошибок более важное дело, так как их намного больше. Я не думаю, что какая-нибудь эффектная дыра в безопасности должна считаться особенной по сравнению с ошибкой, ведущей к зависанию системы."

Источник: http://www.xakep.ru


 
icq status
Форум LUG славного города Запорожье » Информационный раздел » Новости из мира *NIX » Уязвимости в ядре Linux и нужно ли их хранить в тайне (Рассуждения на вечные темы неисчерпываемые темы)
Страница 1 из 11
Поиск: