Niedokumentujemy dostatecznie dobrze security fixow ..

Sob, 7 Wrz 2002, 13:57:30 CEST

On sob, wrz 07, 2002 at 12:46:19 +0200, Krzysiek Taraszka wrote:
[cut]
> Po drogie PLD Security Team scisle dbal by o dalszy rozwoj lini 1.x 
> (chodzi o security fixy, bugfixy, etc).

Chciałbym poddać dyskusji pewien pomysł. Co mianowicie powiecie na
możliwość rejestracji dla każdej instalacji PLD (albo pytanie w ramach
installera, albo startowa wiadomość z adresem formularza w /etc/motd), 
w której każdy admin, który sobie tego życzy podaje swóje dane
(generalnie ważny jest tylko mail). My, mając tego maila, a w zasadzie
bazę takich maili, możemy w razie potrzeby przesłać na adresy z tej bazy
informację o znalezionej dziurze z sugestią kroków, które należy
przeprowadzić aby ją zabezpieczyć. Przykładowo mogłoby to wyglądać tak
(to oczywiście czysta improwizacja, więc proszę się nie śmiać :>):

#v+
Pakiet: 
openssh-3.2.3p1-1

Opis:
znaleziono blad, ktory moze spowodowac przyznanie praw administratora 
potencjalnemu wlamywaczowi. Nie istnieje mozliwosc zabezpieczenia sie 
przed tego rodzaju atakiem.

Rodzaj dziury: 
zdalna

Ryzyko:
8/10

Łatwość przeprowadzenia ataku:
5/10

Metoda sprawdzenia:
rpm -qv openssh-3.2.3p1-1

Metoda zabezpieczenia:
poldek --update-whole
poldek -i openssh
#v-

Wszystkie informacje rozbite na bloki wysyłane w języku polskim i / lub
angielksim w zależności od preferencji językowych podanych w formularzu
/ rejestracji. Kolejne kroki wkomponowane w treść listu tak, aby można
je było łatwo, np. przy pomocy gpma przekleić na konsolę i wykonać.

Admin friendly? Chyba tak, bo nie musi gość czytać bugtraqa, ani
pld-security@, tylko dostaje na swojego maila informacje o odpowiednim
priorytecie i może od razu działać. Ba, może nawet podpiąć jakąś
skrzynkę do procmaila i uruchomić sobie pewne rzeczy (w zależności od
krytyczności problemu) z automatu.

Co myślicie?

-- 
Michał Cieślicki                                            PLD/GNU Linux User
Plonkito ergo sum (c) Igo on apcoh                          BOFH# 264799
Hxbpunav cemrm obtbj hzvrenwn zybqb
http://www.oe.faq.net.pl/bledy.html       <------       The truth is out there