|
|
Bezpieczeństwo Debiana - jak to jest?
pavbaranov - 10-02-2008 12:37
No właśnie, jak to jest z bezpieczeństwem Debiana, szczególnie wersji stabilnej? Debian jest dość powszechnie chwalony za bezpieczeństwo. I w zasadzie, chyba jest to prawda. To jeśli ktoś mógłby mi łaskawie wytłumaczyć co robią w systemie stabilnym stare paczki, które nie są bezpieczne i których nowe wersje z poprawkami bezpieczeństwa zostały upublicznione. Przykład? W etch jest iceweasel 2.0.0.10, oparty na firefoksie tej samej wersji. W tej wersji zostały wykryte błędy bezpieczeństwa i dość szybko przez Mozillę zostały poprawione poprzez wydanie wersji 2.0.0.11. Obecnie opublikowana została już - znowu poprawiona pod względem bezpieczeństwa - wersja 2.0.0.12. Rozumiem zasady, wg których pojawiają się paczki w etchu, ale czy to nie przesada? Zwłaszcza, że w ten sposób przedkładana jest wewnętrzna spójność nad bezpieczeństwo. Chyba ;)
davidoski - 10-02-2008 14:57
http://linuxnews.pl/firefox-20012-podatny-na-atak/
pavbaranov - 10-02-2008 15:01
davidoski>
Nie bardzo łapię. Być może 2.0.0.12 ma jakąś nową dziurę, ale pomiędzy 2.0.0.10 a 2.0.0.12 zostało kilka załatanych. W etchu jest 2.0.0.10 z niezałatanymi dziurami, usuniętymi później. Ponawiam zatem pytanie (zresztą nie dotyczy to tylko firefoksa): Debian a bezpieczeństwo?.
davidoski - 10-02-2008 15:28
Wg mnie numeracja nazw Iceweasel w Etchu nie jest tożsama z numeracją Firefoxa. Zmiany wersji programów w stabilnym Debianie dotyczą tylko poprawek bezpieczeństwa, natomiast zmiana wersji Firefoxa może dotyczyć czegoś innego niż załatania dziury związanej z bezpieczeństwem. Na przykład zmiany w wersji Firefoxa 2.0.0.8 nie dotyczyły bezpieczeństwa http://pl.wikipedia.org/wiki/Firefox...000D4-QINU.07-
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Podobnie jest z innymi pakietami. Poprawki bezpieczeństwa są wprowadzane prawie natychmiast, chociaż numeracja pakietu może na pierwszy rzut oka tego nie odzwierciedlać. Tak jest np. z łatami jądra. Na stare jądro 2.6.18 są wydawane natychmiast poprawki związane z bezpieczeństwem, mimo to numeracja jądra nie zmienia się w związku z tym w tak oczywisty sposób (poprawki bezpieczeństwa zmieniają wersję pakietu dopiero na dalszym "miejscu po przecinku", jeśli wiesz co mam na myśli: http://www.debian.org/security/2008/dsa-1479
Jeśli interesuje cię temat bezpieczeństwa to warto zapoznać się z listą poprawek bezpieczeństwa wersji stabilnej Debiana.
http://www.debian.org/security/2007/
http://www.debian.org/security/2008/
Możesz porównać daty ich wprowadzenia z datami ogłoszenia znalezienia ich rozwiązania, aby się przekonać jak szybko są one wprowadzane do wersji stabilnej. Możesz też subskrybować listę mailingową ogłoszeń o poprawkach, aby natychmiast się o nich dowiadywać.
Myślę, że po analizie tych informacji dojdziesz do wniosku, że Debian Stable jest naprawdę STABLE.
Pozdrawiam
HaNocri - 10-02-2008 15:40
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Z changeloga wynika coś innego.
pavbaranov: zapytaj opiekuna paczki dlaczego zwleka z nakładaniem łat.
Debian nie jest "secure by default", niemożliwe przy takiej różnorodności oprogramowania i jakby nie patrzeć uniwersalnemu przeznaczeniu. Zresztą mało który system taki jest, jedynie OpenBSD tak twierdzi.
davidoski - 10-02-2008 15:58
Z changeloga wynika coś innego.
W którym miejscu wynika tam coś innego, bo nie zauważyłem?
HaNocri - 10-02-2008 16:16
* Fixes MFSA 2007-37 aka CVE-2007-5947, MFSA 2007-38 aka CVE-2007-5959, MFSA 2007-39 aka CVE-2007-5960.
i dalej...
CVE-2007-5947:
The jar protocol handler in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
CVE-2007-5959:
Multiple unspecified vulnerabilities in Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
CVE-2007-5960:
Mozilla Firefox before 2.0.0.10 and SeaMonkey before 1.1.7...
Czyli wszystko to są błędy sprzed Firefoxa 2.0.0.10 i naprawione właśnie w 2.0.0.10, a nie 2.0.0.12
Zobacz changelog z Sida, w którym są wprowadzone dalsze poprawki. Poprawione wydanie dla Etcha pewnie wkrótce znajdzie się w repo.
pavbaranov - 10-02-2008 16:33
W efekcie Iceweasel 2.0.0.10 zawiera łatki, które w Firefoxie zostały wprowadzone dopiero w wersji 2.0.0.12.
Jesteś tego pewny? Znaczyłoby to, że albo w GNUzilli są informatycy, którzy są w stanie znaleźć luki w kodzie FF i uwzględnić je, nie rozgłaszając zarazem, że w produkcie, na którym bazują są błędy, albo są jasnowidzami i wiedzą jakie błędy będą w przyszłych wydaniach FF. Tak, czy inaczej numeracja produktów serii IceX jest w takim razie myląca, zwłaszcza, że dość ciężko znaleźć na stronie GNUzilli jak się mają poszczególne wersje IW w stosunku do FF i jakie luki bezpieczeństwa zostały w nich "naprawione". Jedyne poprawki bezpieczeństwa jakie zostały naprawione to te, o których mowa tu:
http://www.us.debian.org/security/2007/dsa-1424
No to teraz trzeba byłoby porównać, te z FF2.0.0.12; wstępne jednak porównanie z
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.12
wykazuje inne błędy.
Cóż, może jednak - i oby - to ja jestem w błędzie.
davidoski - 10-02-2008 16:41
HaNocri, masz rację - istnieje opóźnienie we wprowadzeniu poprawek do Etch-a. Nie dzieje się tak bez przyczyny. Zgodnie z polityką rozwoju zmiany najpierw trafiają do Sid-a i dopiero po przetestowaniu do Etch-a. Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.
Pozdrawiam
pavbaranov - 10-02-2008 16:46
Uznać to należy za dowód na to, że nie podejmuje się ryzyka wprowadzenia do Etch-a niesprawdzonych poprawek, a spowodowane tym opóźnienie traktowane jest jako mniejsze zło, co uważam za jak najbardziej słuszne.
Również jestem tego zdania. W takim razie - sorki za czepiactwo. Pozostaje tylko i wyłącznie mylące nazewnictwo poszczególnych wersji.
davidoski - 10-02-2008 16:52
dość ciężko znaleźć na stronie GNUzilli jak się mają poszczególne wersje IW w stosunku do FF i jakie luki bezpieczeństwa zostały w nich "naprawione". Jedyne poprawki bezpieczeństwa jakie zostały naprawione to te, o których mowa tu:
http://www.us.debian.org/security/2007/dsa-1424
No to teraz trzeba byłoby porównać, te z FF2.0.0.12; wstępne jednak porównanie z
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.12
wykazuje inne błędy.
Cóż, może jednak - i oby - to ja jestem w błędzie.
Tutaj znajdziesz pełne informacje na temat zmian IW: http://packages.debian.org/changelog...n/i/iceweasel/ Są one zgodne z FF, które wcześniej podałeś. Różnica polega jedynie na tym, że trafiają najpierw do Sid-a, o czym już wcześniej było. Co do różnic w numeracji to niewykluczone, że się mylę, w błąd wprowadziły mnie niepełne dane podane w Wikipedii.
EDIT (2008-02-12, 05:36)
Zobacz changelog z Sida, w którym są wprowadzone dalsze poprawki. Poprawione wydanie dla Etcha pewnie wkrótce znajdzie się w repo.
Dziś się pojawiło.
Pozdrawiam
wojtekz_ - 13-02-2008 15:04
(...) Zgodnie z polityką rozwoju zmiany najpierw trafiają do Sid-a i dopiero po przetestowaniu do Etch-a. (...)
Pozdrawiam
Niezupełnie. Do Etcha nie trafia nic z Sida. Etch jako wersja stabilna jest pielęgnowana przez zespół ds bezpieczeństwa, który zajmuje się przygotowywaniem odpowiednich pakietów (z końcówką etchN). Z Sida pakiety trafiają do Lenny'ego, który ma być kolejną edycją stabilną za kilka miesięcy. W Etchu są pakiety takie, jakie były od początku edycji stabilnej + poprawki bezpieczeństwa + drobne poprawki wprowadzane do międzywydań r1 i r2. Iceweasel ostatnio miał poprawkę bezpieczeństwa do wersji 2.0.0.12.
Pozdrawiam
Rad - 13-02-2008 15:50
wojtekz_ ma całkowitą rację. Ostatnio można było się o tym przekonać, gdy poprawka do jądra wyszła wcześniej na etcha niż nawet na sida.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
