Co sie stalo z bezpieczenstwem w PLD ?
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Śro, 5 Mar 2003, 08:38:48 CET
On Tue, 4 Mar 2003, Pawel Nogas wrote:
> Witam
>
> Od dluzszego czasu jestem uzytkownikiem PLD, i z niepokojem obserwuje, ze od
> kilku miesiecy nikt nie przejmuje sie bezpieczenstwem w Ra. Dawniej na
> pojawiajace sie dziury w aplikacja w PLD reagowano podobnie szybko jak np. w
> FreeBSD, obecnie nawet Redhat jest duzo szybszy. W zasadzie doszlo ze jesli
> chce sie miec bezpieczne PLD na czyms innym niz workstacja, to jedyna metoda
> jest samodzielne instalowanie poprawionych aplikacji, bo na pakiety z PLD w
> rozsadnym czasie nie ma co liczyc.
>
> Kilka przykladow:
>
> -wget dziura opublikowana 10 grudnia, zapatchowane po 10 dniach
> -pine - 7 listopad , poprawione 25 listopada (18 dni)
> -dhcpd - 15 styczen poprawione 16 stycznia (tym razem szybkosc reakcji jak
> dawniej podziekowania dla Kloczka)
> - ostatnio opisywana dziura w snort
> -sendmail - opublikowane wczoraj, ale wiadomo bylo o dziurze co najmniej od
> przedwczoraj - wszystkie wieksze dystrybucje poprawily wczoraj do 20:00
Ktoś to zawsze trobi. Czasami później czasami wcześniej. Ciężko coś tu
sensownego wymyśleć.
Ja właśnie się użeram z budowlańcami próbując wracić na swoje stare
miejsce po remoncie.
Główna przeszkoda to braki czasowe. Jeżeli nie będzie kogoś takiego jak ja
z większa ilością wolnego czasu i nieco głębszym rozeznaniem to dołożenie
dziesieciu nawet osób niewiele tu polepszy, a napewno wprowadzi dodatkowe
błędy/niporządek/nieporozumienia/łotewer.
Do powyższego dorzuce jeszcze to co jest na bugs gdzie są różne sec
raporty które trzeba poweryfikować (sendmail poszedł do przebudowy).
> Kolejna sprawa openssh - obecnie standardem jest wersja z privsep-em, w PLD
> ciagle stara wersja, jak pojawi sie dziura to znow bedziemy b. narazeni (a z
> pol roku temu byla juz nowa wersja, ale poniewaz kilka osob mialo problemy
> przy upgrade wrocono do starej.)
Moze jednak nie przesadzaj. Dopóty dopóki nic nie wiadomo że nie ma dziury
nie ma niebezpieczeństwa. Co jak się okaże, że byk jest w kodzie obsługi
privsep-a ?
Czy w nowej wersji rozwiązano już kwestię poprawnej obsługi limitów ?
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl