Dziury w obecnym RH (z naniesionymi poprawkami z updates)

[Tomasz Kłoczko]

Proponuję rozpocząć nad tym lekką dyskusję. Temat niewątpliwie drażliwy
ale i ważny.

Ja wiem o conajmniej jednej dziurze. Jest o dziura w lprm. Osoba która
będzie chciała zająć się tym pakietem proszona jest o zajrzenie do zasobów
Debianowych po to żeby ściągnąć z tamtąd patcha na BO jaki tam jest.

Od dwuch dni walczę z pewnym osobnikiem tutaj na gruncie 3miejskim i mam w
tej chwili początki do kłebka na conajmniej dwie, trzy jeszcze inne dziury
(na ich ślady natknąłem się już blisko 4 miesiące temu), które nie było
jeszcze dyskutowane na np. bugtraq czy innych takich miejscach. Z moich
ustaleń wynika, że nie są to bynajmniej rzeczy zależne od tej czy innej
dystrybucji.

Niemniej, żeby to wydusić trzeba będzie zorganizować zbiorową
"pielgrzymkę" w celu "porozmawiania" z pewnym odsobnikiem (zespół
pielgrzymujący jest już skompletowany ;).

Przepraszam za kilka drobych opóźnień w wykonywaniu różnych rzeczy (np. 
CVS) ale te sprawy są w ostatnich dwuch dniach dla mnie na tyle ważne, że
mają wyższy priorytet nad PLD ale wynikają one włąśnie z pewnych spraw
związanych z security kilku hostów którymi mam przyjemność kierować od
strony technicznej.

Wszystkie pakiety, które potencjalnie mogą zawierać nieszczelne z racji
podwyższonych uprawnień z jakimi chodzą programy z pakietu trzeba będzie
na prawdę po kilka razy poprzeglądać pod kontem security i dobrze by było
żeby osobnik próbujący zając się jakimś nowym pakietem zdobył się na
porównaie z innymi dystrybucjami (lub bdzie musuiał to wykonać ktoś inny).

Najgorsze jest to, że środowisko rasowych włąmywaczy jest dość szczelnie
zamknięte i wiem że niektóży z racji swojego chorobliwego podejścia do
obszczewania różnych miejsc nie chętnie dzielą się różnymi inforamcjami.
Jeżeli ktokolwiek posiada takie podziemne kontakty to proszony jest o ich
cichą eksploatację ku ogulnemu porzyutkowi. Jeżeli uda nam się zamknąć
kilka furtek, to już choćby najmniej to znacznie ułatwi nam wypłynięcie na
szersze wody jeśli chodzi o uzyskanie dobrej opini i dalszego wsparcia w
pracach.

W tej chwili mogę tylko tyle dodać, że należy uważać na wszelki ruch
pochodzący z dopmeny arpg.gda.pl. Dalsze wyjaśnienia w tej materii w miarę
postępu "prac". 

Poroponuję na razie jeśli chodzi o całość tej tematyki na koordynatora
spraw w temacie security Marcina Bochosiewicza (alias RMF), który powinien
być obecny na liście (Marcin jeżeli to czytasz to potwierdź, że możesz się
tym zająć). Marcin ma lekkie zacięcie do tych spraw i po mimo tego, że
może nie posiada super doświadczeń w tej materii to IMHO nadaje się do
powyższego (będzie musiał tylko skrócić sobie język ;).

Osoba zajmująca się powyższym powinna być wymieniona w "PLD who is
who" i będzie do pewnego stopnia odpowiedzialna za całą tą materię. Tzn,
dobrze by było żeby może w mniejszym stopniu zajmowała się sprawami
bierzącymi związanymi z dystrybucją i żeby skupiała się na zorganizowania
sobie własnej siatki ludzi i powiązań nie koniecznie jawnych.

Od razu uprzedzam, że pracy nad tym może by jednak trochę. W -devel
wprowadzamy narzędzia do ipv6, które tylko działają (nie koniecznie
jeszcze poprawnie). Ilość potencjanych dziur w tej części może być duża.

Marcin PLS o potwierdzenie, że się zgadzasz lub nie.

kloczek
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*