Co sie stalo z bezpieczenstwem w PLD ?

Jakub Bogusz qboosh w pld.org.pl
Wto, 4 Mar 2003, 23:15:12 CET 

On Tue, Mar 04, 2003 at 03:04:45PM +0100, Pawel Nogas wrote:
> Witam
> 
> 	Od dluzszego czasu jestem uzytkownikiem PLD, i z niepokojem obserwuje, ze od 
> kilku miesiecy nikt nie przejmuje sie bezpieczenstwem w Ra. Dawniej na 
> pojawiajace sie dziury w aplikacja w PLD reagowano podobnie szybko jak np. w 
> FreeBSD, obecnie nawet Redhat jest duzo szybszy.

Nawet?
Wbrew obiegowej opinii na krytyczne błędy Redhat, SuSE i Mandrake
teraz reagują szybko.

> Kilka przykladow:
> 
> -wget dziura opublikowana 10 grudnia, zapatchowane po 10 dniach
> -pine - 7 listopad , poprawione 25 listopada (18 dni)

I tak nie najgorsze przykłady - wiem o kilku nie załatanych przez parę
miesięcy (w jednym przypadku to było przeoczenie - dwa błędy w krótkim
odstępnie, więc raporty o tym drugim poszły na konto pierwszego...)

Przydałby się mechanizm zbierania raportów o błędach i obowiązkowego
sprawdzania ich statusu (nie dotyczy (brak pakietu / dawno załatane / za
stara wersja w Ra :P) / poprawione / w drodze / nie da się poprawić).
Coś takiego próbuję robić ręcznie w ramach tego, co przychodzi
z bugtraq, ale czas nie jest z gumy (a bezpieczeństwo nie jest jedynym
zagadnieniem związanym z PLD, nie mówiąc już o tym, że PLD nie jest
jedynym zajęciem). No i zawodzi ostatni etap (między poprawką w CVS
a pakietem na FTP).

> -dhcpd - 15 styczen poprawione 16 stycznia (tym razem szybkosc reakcji jak 	
> dawniej  podziekowania dla Kloczka)
> - ostatnio opisywana dziura w snort 

O snorcie wiadomo (publicznie) od wczoraj...

> -sendmail - opublikowane wczoraj, ale wiadomo bylo o dziurze co najmniej od 
> przedwczoraj - wszystkie wieksze dystrybucje poprawily wczoraj do 20:00

Przedwczoraj kto wiedział to wiedział - nie wiem kto, do mnie dotarło
późnym popołudniem z bugtraq.
Wczoraj wieczorem był uaktualniony w CVS, na RA-branch dzisiaj.

Tylko co z tego - nie ma kloczka, to nie ma uaktualnień na ftp. Tak nie
może być!
Jak potem dyskutować z twierdzącymi, że PLD nie nadaje się do
produkcyjnych zastosowań, skoro ostatnio praktyka pokazuje, że mają
rację? Mam nadzieję, że to chwilowe - ale dopóki nie zmieni się
metodologia, praktyka też :/

> Kolejna sprawa openssh - obecnie standardem jest wersja z privsep-em, w PLD 
> ciagle stara wersja, jak pojawi sie dziura  to znow bedziemy b. narazeni (a z 
> pol roku temu byla juz nowa wersja, ale poniewaz kilka osob mialo problemy
> przy upgrade wrocono do starej.)

Nawiasem mówiąc na HEAD jest 3.5p1 z wyłączonym domyślnie PrivSep...


-- 
Jakub Bogusz    http://cyber.cs.net.pl/~qboosh/

Więcej informacji o liście dyskusyjnej pld-devel-pl