Bezpiecze

Ogólne pytania dotyczące systemu
pavbaranov
Senior Member
Posty: 2156
Rejestracja: 29 lipca 2007, 18:06

Bezpieczeństwo Debiana - jak to jest?

Post autor: pavbaranov »

No właśnie, jak to jest z bezpieczeństwem Debiana, szczególnie wersji stabilnej? Debian jest dość powszechnie chwalony za bezpieczeństwo. I w zasadzie, chyba jest to prawda. To jeśli ktoś mógłby mi łaskawie wytłumaczyć co robią w systemie stabilnym stare paczki, które nie są bezpieczne i których nowe wersje z poprawkami bezpieczeństwa zostały upublicznione. Przykład? W etch jest iceweasel 2.0.0.10, oparty na firefoksie tej samej wersji. W tej wersji zostały wykryte błędy bezpieczeństwa i dość szybko przez Mozillę zostały poprawione poprzez wydanie wersji 2.0.0.11. Obecnie opublikowana została już - znowu poprawiona pod względem bezpieczeństwa - wersja 2.0.0.12. Rozumiem zasady, wg których pojawiają się paczki w etchu, ale czy to nie przesada? Zwłaszcza, że w ten sposób przedkładana jest wewnętrzna spójność nad bezpieczeństwo. Chyba ;)
Awatar użytkownika
davidoski
Beginner
Posty: 234
Rejestracja: 17 kwietnia 2007, 10:53
Lokalizacja: Poznań

Post autor: davidoski »

pavbaranov
Senior Member
Posty: 2156
Rejestracja: 29 lipca 2007, 18:06

Post autor: pavbaranov »

davidoski>
Nie bardzo łapię. Być może 2.0.0.12 ma jakąś nową dziurę, ale pomiędzy 2.0.0.10 a 2.0.0.12 zostało kilka załatanych. W etchu jest 2.0.0.10 z niezałatanymi dziurami, usuniętymi później. Ponawiam zatem pytanie (zresztą nie dotyczy to tylko firefoksa): Debian a bezpieczeństwo?.
Awatar użytkownika
davidoski
Beginner
Posty: 234
Rejestracja: 17 kwietnia 2007, 10:53
Lokalizacja: Poznań

Post autor: davidoski »

Wg mnie numeracja nazw Iceweasel w Etchu nie jest tożsama z numeracją Firefoxa. Zmiany wersji programów w stabilnym Debianie dotyczą tylko poprawek bezpieczeństwa, natomiast zmiana wersji Firefoxa może dotyczyć czegoś innego niż załatania dziury związanej z bezpieczeństwem. Na przykład zmiany w wersji Firefoxa 2.0.0.8 nie dotyczyły bezpieczeństwa http://pl.wikipedia.org/wiki/Firefox#Hi ... 4-QINU.07-
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.

Podobnie jest z innymi pakietami. Poprawki bezpieczeństwa są wprowadzane prawie natychmiast, chociaż numeracja pakietu może na pierwszy rzut oka tego nie odzwierciedlać. Tak jest np. z łatami jądra. Na stare jądro 2.6.18 są wydawane natychmiast poprawki związane z bezpieczeństwem, mimo to numeracja jądra nie zmienia się w związku z tym w tak oczywisty sposób (poprawki bezpieczeństwa zmieniają wersję pakietu dopiero na dalszym "miejscu po przecinku", jeśli wiesz co mam na myśli: http://www.debian.org/security/2008/dsa-1479

Jeśli interesuje cię temat bezpieczeństwa to warto zapoznać się z listą poprawek bezpieczeństwa wersji stabilnej Debiana.

http://www.debian.org/security/2007/
http://www.debian.org/security/2008/

Możesz porównać daty ich wprowadzenia z datami ogłoszenia znalezienia ich rozwiązania, aby się przekonać jak szybko są one wprowadzane do wersji stabilnej. Możesz też subskrybować listę mailingową ogłoszeń o poprawkach, aby natychmiast się o nich dowiadywać.

Myślę, że po analizie tych informacji dojdziesz do wniosku, że Debian Stable jest naprawdę STABLE.

Pozdrawiam
HaNocri
Posty: 20
Rejestracja: 01 marca 2007, 17:28

Post autor: HaNocri »

davidoski pisze:W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Z changeloga wynika coś innego.

pavbaranov: zapytaj opiekuna paczki dlaczego zwleka z nakładaniem łat.
Debian nie jest "secure by default", niemożliwe przy takiej różnorodności oprogramowania i jakby nie patrzeć uniwersalnemu przeznaczeniu. Zresztą mało który system taki jest, jedynie OpenBSD tak twierdzi.
Awatar użytkownika
davidoski
Beginner
Posty: 234
Rejestracja: 17 kwietnia 2007, 10:53
Lokalizacja: Poznań

Post autor: davidoski »

HaNocri pisze:Z changeloga wynika coś innego.
W którym miejscu wynika tam coś innego, bo nie zauważyłem?
HaNocri
Posty: 20
Rejestracja: 01 marca 2007, 17:28

Post autor: HaNocri »

Kod: Zaznacz cały

* Fixes MFSA 2007-37 aka CVE-2007-5947, MFSA 2007-38 aka CVE-2007-5959, MFSA 2007-39 aka CVE-2007-5960.
i dalej...
CVE-2007-5947:

Kod: Zaznacz cały

The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
CVE-2007-5959:

Kod: Zaznacz cały

Multiple unspecified vulnerabilities in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
CVE-2007-5960:

Kod: Zaznacz cały

Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
Czyli wszystko to są błędy sprzed Firefoxa 2.0.0.10 i naprawione właśnie w 2.0.0.10, a nie 2.0.0.12
Zobacz changelog z Sida, w którym są wprowadzone dalsze poprawki. Poprawione wydanie dla Etcha pewnie wkrótce znajdzie się w repo.
pavbaranov
Senior Member
Posty: 2156
Rejestracja: 29 lipca 2007, 18:06

Post autor: pavbaranov »

davidoski pisze:W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Jesteś tego pewny? Znaczyłoby to, że albo w GNUzilli są informatycy, którzy są w stanie znaleźć luki w kodzie FF i uwzględnić je, nie rozgłaszając zarazem, że w produkcie, na którym bazują są błędy, albo są jasnowidzami i wiedzą jakie błędy będą w przyszłych wydaniach FF. Tak, czy inaczej numeracja produktów serii IceX jest w takim razie myląca, zwłaszcza, że dość ciężko znaleźć na stronie GNUzilli jak się mają poszczególne wersje IW w stosunku do FF i jakie luki bezpieczeństwa zostały w nich "naprawione". Jedyne poprawki bezpieczeństwa jakie zostały naprawione to te, o których mowa tu:

Kod: Zaznacz cały

http://www.us.debian.org/security/2007/dsa-1424
No to teraz trzeba byłoby porównać, te z FF2.0.0.12]http://www.mozilla.org/projects/securit ... ox2.0.0.12[/code] wykazuje inne błędy.
Cóż, może jednak - i oby - to ja jestem w błędzie.
Awatar użytkownika
davidoski
Beginner
Posty: 234
Rejestracja: 17 kwietnia 2007, 10:53
Lokalizacja: Poznań

Post autor: davidoski »

HaNocri, masz rację - istnieje opóźnienie we wprowadzeniu poprawek do Etch-a. Nie dzieje się tak bez przyczyny. Zgodnie z polityką rozwoju zmiany najpierw trafiają do Sid-a i dopiero po przetestowaniu do Etch-a. Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.

Pozdrawiam
pavbaranov
Senior Member
Posty: 2156
Rejestracja: 29 lipca 2007, 18:06

Post autor: pavbaranov »

davidoski pisze:Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.
Również jestem tego zdania. W takim razie - sorki za czepiactwo. Pozostaje tylko i wyłącznie mylące nazewnictwo poszczególnych wersji.
ODPOWIEDZ