Bezpiecze
-
pavbaranov
- Senior Member
- Posty: 2156
- Rejestracja: 29 lipca 2007, 18:06
Bezpieczeństwo Debiana - jak to jest?
No właśnie, jak to jest z bezpieczeństwem Debiana, szczególnie wersji stabilnej? Debian jest dość powszechnie chwalony za bezpieczeństwo. I w zasadzie, chyba jest to prawda. To jeśli ktoś mógłby mi łaskawie wytłumaczyć co robią w systemie stabilnym stare paczki, które nie są bezpieczne i których nowe wersje z poprawkami bezpieczeństwa zostały upublicznione. Przykład? W etch jest iceweasel 2.0.0.10, oparty na firefoksie tej samej wersji. W tej wersji zostały wykryte błędy bezpieczeństwa i dość szybko przez Mozillę zostały poprawione poprzez wydanie wersji 2.0.0.11. Obecnie opublikowana została już - znowu poprawiona pod względem bezpieczeństwa - wersja 2.0.0.12. Rozumiem zasady, wg których pojawiają się paczki w etchu, ale czy to nie przesada? Zwłaszcza, że w ten sposób przedkładana jest wewnętrzna spójność nad bezpieczeństwo. Chyba
-
pavbaranov
- Senior Member
- Posty: 2156
- Rejestracja: 29 lipca 2007, 18:06
Wg mnie numeracja nazw Iceweasel w Etchu nie jest tożsama z numeracją Firefoxa. Zmiany wersji programów w stabilnym Debianie dotyczą tylko poprawek bezpieczeństwa, natomiast zmiana wersji Firefoxa może dotyczyć czegoś innego niż załatania dziury związanej z bezpieczeństwem. Na przykład zmiany w wersji Firefoxa 2.0.0.8 nie dotyczyły bezpieczeństwa http://pl.wikipedia.org/wiki/Firefox#Hi ... 4-QINU.07-
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Podobnie jest z innymi pakietami. Poprawki bezpieczeństwa są wprowadzane prawie natychmiast, chociaż numeracja pakietu może na pierwszy rzut oka tego nie odzwierciedlać. Tak jest np. z łatami jądra. Na stare jądro 2.6.18 są wydawane natychmiast poprawki związane z bezpieczeństwem, mimo to numeracja jądra nie zmienia się w związku z tym w tak oczywisty sposób (poprawki bezpieczeństwa zmieniają wersję pakietu dopiero na dalszym "miejscu po przecinku", jeśli wiesz co mam na myśli: http://www.debian.org/security/2008/dsa-1479
Jeśli interesuje cię temat bezpieczeństwa to warto zapoznać się z listą poprawek bezpieczeństwa wersji stabilnej Debiana.
http://www.debian.org/security/2007/
http://www.debian.org/security/2008/
Możesz porównać daty ich wprowadzenia z datami ogłoszenia znalezienia ich rozwiązania, aby się przekonać jak szybko są one wprowadzane do wersji stabilnej. Możesz też subskrybować listę mailingową ogłoszeń o poprawkach, aby natychmiast się o nich dowiadywać.
Myślę, że po analizie tych informacji dojdziesz do wniosku, że Debian Stable jest naprawdę STABLE.
Pozdrawiam
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Podobnie jest z innymi pakietami. Poprawki bezpieczeństwa są wprowadzane prawie natychmiast, chociaż numeracja pakietu może na pierwszy rzut oka tego nie odzwierciedlać. Tak jest np. z łatami jądra. Na stare jądro 2.6.18 są wydawane natychmiast poprawki związane z bezpieczeństwem, mimo to numeracja jądra nie zmienia się w związku z tym w tak oczywisty sposób (poprawki bezpieczeństwa zmieniają wersję pakietu dopiero na dalszym "miejscu po przecinku", jeśli wiesz co mam na myśli: http://www.debian.org/security/2008/dsa-1479
Jeśli interesuje cię temat bezpieczeństwa to warto zapoznać się z listą poprawek bezpieczeństwa wersji stabilnej Debiana.
http://www.debian.org/security/2007/
http://www.debian.org/security/2008/
Możesz porównać daty ich wprowadzenia z datami ogłoszenia znalezienia ich rozwiązania, aby się przekonać jak szybko są one wprowadzane do wersji stabilnej. Możesz też subskrybować listę mailingową ogłoszeń o poprawkach, aby natychmiast się o nich dowiadywać.
Myślę, że po analizie tych informacji dojdziesz do wniosku, że Debian Stable jest naprawdę STABLE.
Pozdrawiam
Z changeloga wynika coś innego.davidoski pisze:W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
pavbaranov: zapytaj opiekuna paczki dlaczego zwleka z nakładaniem łat.
Debian nie jest "secure by default", niemożliwe przy takiej różnorodności oprogramowania i jakby nie patrzeć uniwersalnemu przeznaczeniu. Zresztą mało który system taki jest, jedynie OpenBSD tak twierdzi.
W którym miejscu wynika tam coś innego, bo nie zauważyłem?HaNocri pisze:Z changeloga wynika coś innego.
Kod: Zaznacz cały
* Fixes MFSA 2007-37 aka CVE-2007-5947, MFSA 2007-38 aka CVE-2007-5959, MFSA 2007-39 aka CVE-2007-5960.CVE-2007-5947:
Kod: Zaznacz cały
The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...Kod: Zaznacz cały
Multiple unspecified vulnerabilities in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...Kod: Zaznacz cały
Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...Zobacz changelog z Sida, w którym są wprowadzone dalsze poprawki. Poprawione wydanie dla Etcha pewnie wkrótce znajdzie się w repo.
-
pavbaranov
- Senior Member
- Posty: 2156
- Rejestracja: 29 lipca 2007, 18:06
Jesteś tego pewny? Znaczyłoby to, że albo w GNUzilli są informatycy, którzy są w stanie znaleźć luki w kodzie FF i uwzględnić je, nie rozgłaszając zarazem, że w produkcie, na którym bazują są błędy, albo są jasnowidzami i wiedzą jakie błędy będą w przyszłych wydaniach FF. Tak, czy inaczej numeracja produktów serii IceX jest w takim razie myląca, zwłaszcza, że dość ciężko znaleźć na stronie GNUzilli jak się mają poszczególne wersje IW w stosunku do FF i jakie luki bezpieczeństwa zostały w nich "naprawione". Jedyne poprawki bezpieczeństwa jakie zostały naprawione to te, o których mowa tu:davidoski pisze:W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Kod: Zaznacz cały
http://www.us.debian.org/security/2007/dsa-1424Cóż, może jednak - i oby - to ja jestem w błędzie.
HaNocri, masz rację - istnieje opóźnienie we wprowadzeniu poprawek do Etch-a. Nie dzieje się tak bez przyczyny. Zgodnie z polityką rozwoju zmiany najpierw trafiają do Sid-a i dopiero po przetestowaniu do Etch-a. Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.
Pozdrawiam
Pozdrawiam
-
pavbaranov
- Senior Member
- Posty: 2156
- Rejestracja: 29 lipca 2007, 18:06
Również jestem tego zdania. W takim razie - sorki za czepiactwo. Pozostaje tylko i wyłącznie mylące nazewnictwo poszczególnych wersji.davidoski pisze:Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.