Co sie stalo z bezpieczenstwem w PLD ?
Pawel Nogas
pnogas w amu.edu.pl
Wto, 4 Mar 2003, 15:04:45 CET
Witam
Od dluzszego czasu jestem uzytkownikiem PLD, i z niepokojem obserwuje, ze od
kilku miesiecy nikt nie przejmuje sie bezpieczenstwem w Ra. Dawniej na
pojawiajace sie dziury w aplikacja w PLD reagowano podobnie szybko jak np. w
FreeBSD, obecnie nawet Redhat jest duzo szybszy. W zasadzie doszlo ze jesli
chce sie miec bezpieczne PLD na czyms innym niz workstacja, to jedyna metoda
jest samodzielne instalowanie poprawionych aplikacji, bo na pakiety z PLD w
rozsadnym czasie nie ma co liczyc.
Kilka przykladow:
-wget dziura opublikowana 10 grudnia, zapatchowane po 10 dniach
-pine - 7 listopad , poprawione 25 listopada (18 dni)
-dhcpd - 15 styczen poprawione 16 stycznia (tym razem szybkosc reakcji jak
dawniej podziekowania dla Kloczka)
- ostatnio opisywana dziura w snort
-sendmail - opublikowane wczoraj, ale wiadomo bylo o dziurze co najmniej od
przedwczoraj - wszystkie wieksze dystrybucje poprawily wczoraj do 20:00
Kolejna sprawa openssh - obecnie standardem jest wersja z privsep-em, w PLD
ciagle stara wersja, jak pojawi sie dziura to znow bedziemy b. narazeni (a z
pol roku temu byla juz nowa wersja, ale poniewaz kilka osob mialo problemy
przy upgrade wrocono do starej.)
Pozdrawiam
P.
Więcej informacji o liście dyskusyjnej pld-devel-pl