Re: FW: Kernel dla sarge
On Fri, 9 Dec 2005, Marek Zakowicz wrote:
Masz na myśli poniższe?
http://www.it-faq.pl/EditModule.aspx?tabid=47&mid=412&def=News%20Article%20View&ItemId=1213
Ten link mi cos nie działa. Mam na mysli to:
http://www.debian.org/News/2003/20031121
http://lists.debian.org/debian-devel-announce/2003/11/msg00012.html
Odnoszę wrażenie, że jądara *-pre i *-test, które były na skompromitowanych
serwerach nie należą (zgodnie z nazwą) do tych, które zostały przetestowane.
Innymi słowy, jeśli masz na myśli ten akurat przypadek, to można powiedzieć,
że potwierdza on przydatność długotrwałego testowania i zamrażania pakietów
(czyli jest kontrprzykładem dla Twojej tezy)...
No właśnie, że ten przypadek dokładnie potwierdza moją tezę.
1. W tym czasie zamrozone jądro w Woodym to było 2.4.18, które było
dziurawe i nikt się nie zajmował łataniem tego jądra, podobnie jak to ma
miejsce teraz z kernelami 2.4.27 oraz 2.6.8.
2. Serwery Debiana uzywały nowszych jąder, gdyż chłopaki od debiana dobrze
wiedzieli, że 2.4.18 jest dziurawe. Na jednej maszynie było jądro 2.4.22
(które było bezpieczne), a na dwóch pozostałych - 2.4.21-rc2 i 2.4.22rc2
które były dziurawe (jakos zapomnieli o upgrade kernela). To było właśnie
przyczną włamania.
Oczywiście ja też nie jestem zadowolony z długiego czasu aktualizacji
dystrybucji i mam świadomość, że nie ma oprogramowania bez błędów, są tylko
programy z nieznanymi błędami ;) Innymi słowy, jeśli poprawki dla starych
wersji przestają powstawać to prędzej czy później ktoś prawdopodobnie
znajdzie w nich dziurę. Tylko, że wydaje mi się, iż opiekunowie pakietów
Debiana, są często tymi, którzy tworzą "wsteczne wersje" łat (jeśli takowe są
potrzebne)...
Ten przypadek dokładnie potwierdza to co wczesniej powiedziałem:
1. Dystrybucyjne jądra debiana są dziurawe i nikt ich nie łata
2. Developerzy debiana o tym wiedzą, gdyż sami nie stosują ich na
własnych serwerach tylko podmieniają jądra na najnowsze gdy tylko sie
takie pokażą (raz zapomnieli to zrobic co skończyło się włamaniem).
3. Zamrażanie jądra linuksa w debianie to poważny błąd - tylko najnowsze
jądro mozna uznać za bezpieczne.
Pozdr.
Marek
Reply to: