Strona 1 z 2
Bezpieczeństwo Debiana - jak to jest?
: 10 lutego 2008, 12:37
autor: pavbaranov
No właśnie, jak to jest z bezpieczeństwem Debiana, szczególnie wersji stabilnej? Debian jest dość powszechnie chwalony za bezpieczeństwo. I w zasadzie, chyba jest to prawda. To jeśli ktoś mógłby mi łaskawie wytłumaczyć co robią w systemie stabilnym stare paczki, które nie są bezpieczne i których nowe wersje z poprawkami bezpieczeństwa zostały upublicznione. Przykład? W etch jest iceweasel 2.0.0.10, oparty na firefoksie tej samej wersji. W tej wersji zostały wykryte błędy bezpieczeństwa i dość szybko przez Mozillę zostały poprawione poprzez wydanie wersji 2.0.0.11. Obecnie opublikowana została już - znowu poprawiona pod względem bezpieczeństwa - wersja 2.0.0.12. Rozumiem zasady, wg których pojawiają się paczki w etchu, ale czy to nie przesada? Zwłaszcza, że w ten sposób przedkładana jest wewnętrzna spójność nad bezpieczeństwo. Chyba
: 10 lutego 2008, 14:57
autor: davidoski
: 10 lutego 2008, 15:01
autor: pavbaranov
davidoski>
Nie bardzo łapię. Być może 2.0.0.12 ma jakąś nową dziurę, ale pomiędzy 2.0.0.10 a 2.0.0.12 zostało kilka załatanych. W etchu jest 2.0.0.10 z niezałatanymi dziurami, usuniętymi później. Ponawiam zatem pytanie (zresztą nie dotyczy to tylko firefoksa): Debian a bezpieczeństwo?.
: 10 lutego 2008, 15:28
autor: davidoski
Wg mnie numeracja nazw Iceweasel w Etchu nie jest tożsama z numeracją Firefoxa. Zmiany wersji programów w stabilnym Debianie dotyczą tylko poprawek bezpieczeństwa, natomiast zmiana wersji Firefoxa może dotyczyć czegoś innego niż załatania dziury związanej z bezpieczeństwem. Na przykład zmiany w wersji Firefoxa 2.0.0.8 nie dotyczyły bezpieczeństwa
http://pl.wikipedia.org/wiki/Firefox#Hi ... 4-QINU.07-
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Podobnie jest z innymi pakietami. Poprawki bezpieczeństwa są wprowadzane prawie natychmiast, chociaż numeracja pakietu może na pierwszy rzut oka tego nie odzwierciedlać. Tak jest np. z łatami jądra. Na stare jądro 2.6.18 są wydawane natychmiast poprawki związane z bezpieczeństwem, mimo to numeracja jądra nie zmienia się w związku z tym w tak oczywisty sposób (poprawki bezpieczeństwa zmieniają wersję pakietu dopiero na dalszym "miejscu po przecinku", jeśli wiesz co mam na myśli:
http://www.debian.org/security/2008/dsa-1479
Jeśli interesuje cię temat bezpieczeństwa to warto zapoznać się z listą poprawek bezpieczeństwa wersji stabilnej Debiana.
http://www.debian.org/security/2007/
http://www.debian.org/security/2008/
Możesz porównać daty ich wprowadzenia z datami ogłoszenia znalezienia ich rozwiązania, aby się przekonać jak szybko są one wprowadzane do wersji stabilnej. Możesz też subskrybować listę mailingową ogłoszeń o poprawkach, aby natychmiast się o nich dowiadywać.
Myślę, że po analizie tych informacji dojdziesz do wniosku, że Debian Stable jest naprawdę STABLE.
Pozdrawiam
: 10 lutego 2008, 15:40
autor: HaNocri
davidoski pisze:W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Z
changeloga wynika coś innego.
pavbaranov: zapytaj opiekuna paczki dlaczego zwleka z nakładaniem łat.
Debian nie jest "secure by default", niemożliwe przy takiej różnorodności oprogramowania i jakby nie patrzeć uniwersalnemu przeznaczeniu. Zresztą mało który system taki jest, jedynie OpenBSD tak twierdzi.
: 10 lutego 2008, 15:58
autor: davidoski
W którym miejscu wynika tam coś innego, bo nie zauważyłem?
: 10 lutego 2008, 16:16
autor: HaNocri
Kod: Zaznacz cały
* Fixes MFSA 2007-37 aka CVE-2007-5947, MFSA 2007-38 aka CVE-2007-5959, MFSA 2007-39 aka CVE-2007-5960.
i dalej...
CVE-2007-5947:
Kod: Zaznacz cały
The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
CVE-2007-5959:
Kod: Zaznacz cały
Multiple unspecified vulnerabilities in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
CVE-2007-5960:
Kod: Zaznacz cały
Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
Czyli wszystko to są błędy sprzed Firefoxa 2.0.0.10 i naprawione właśnie w 2.0.0.10, a nie 2.0.0.12
Zobacz
changelog z Sida, w którym są wprowadzone dalsze poprawki. Poprawione wydanie dla Etcha pewnie wkrótce znajdzie się w repo.
: 10 lutego 2008, 16:33
autor: pavbaranov
davidoski pisze:W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Jesteś tego pewny? Znaczyłoby to, że albo w GNUzilli są informatycy, którzy są w stanie znaleźć luki w kodzie FF i uwzględnić je, nie rozgłaszając zarazem, że w produkcie, na którym bazują są błędy, albo są jasnowidzami i wiedzą jakie błędy będą w przyszłych wydaniach FF. Tak, czy inaczej numeracja produktów serii IceX jest w takim razie myląca, zwłaszcza, że dość ciężko znaleźć na stronie GNUzilli jak się mają poszczególne wersje IW w stosunku do FF i jakie luki bezpieczeństwa zostały w nich "naprawione". Jedyne poprawki bezpieczeństwa jakie zostały naprawione to te, o których mowa tu:
Kod: Zaznacz cały
http://www.us.debian.org/security/2007/dsa-1424
No to teraz trzeba byłoby porównać, te z FF2.0.0.12]
http://www.mozilla.org/projects/securit ... ox2.0.0.12[/code] wykazuje inne błędy.
Cóż, może jednak - i oby - to ja jestem w błędzie.
: 10 lutego 2008, 16:41
autor: davidoski
HaNocri, masz rację - istnieje opóźnienie we wprowadzeniu poprawek do Etch-a. Nie dzieje się tak bez przyczyny. Zgodnie z polityką rozwoju zmiany najpierw trafiają do Sid-a i dopiero po przetestowaniu do Etch-a. Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.
Pozdrawiam
: 10 lutego 2008, 16:46
autor: pavbaranov
davidoski pisze:Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.
Również jestem tego zdania. W takim razie - sorki za czepiactwo. Pozostaje tylko i wyłącznie mylące nazewnictwo poszczególnych wersji.