|
|
Czy mój Iceweasel jest załatany i bezpieczny?
Kruk - 08-04-2009 10:58
Zastanawia mnie od pewnego czasu jedna sprawa. Już sporo czasu upłynęło od wydania Firefoksa 3.0.8, wcześniej był 3.0.7, a w repozytoriach Debiana Lenny dostępna jest wersja 3.0.6. Czy to znaczy, że Iceweasel z repo ma niezałatane luki, które zostały naprawione w nowszych wersjach? Trzeba instalować ręcznie program? W takim razie po co trzymają w repo niezałataną wersję programu?
pavbaranov - 08-04-2009 11:27
Na forum jest bliźniaczy temat wraz z wyjaśnieniami: http://debian.linux.pl/viewtopic.php?t=6828
Szczerze powiedziawszy, pojawiające się tam stwierdzenia, że wersje Iceweasela Debiana "niższymi numerkami" mają już wprowadzone łatki z późniejszych wersji Mozilli mnie nie przekonuje.
Wystarczy porównać:
http://packages.debian.org/changelog.../changelog.txt
z
http://www.mozilla.org/security/know...l#firefox3.0.8
z czego wynika, że wersja 3.0.6.1 Iceweasela nie ma w stosunku do 3.0.8 Mozilli wprowadzonych łat uznanych za krytyczne pn.: MFSA 2009-07, 08, 10, 12 i 13 oraz jednej (11) uznanej za "high".
Co ciekawe, wersja Iceweasela 3.0.7.1 ma łatkę dotyczącą MFSA 2009-11, uznaną przez Mozillę za "low", nie ma natomiast poprawionych w tym wydaniu błędów krytycznych (07,08 i 10) oraz "high" (09).
Tym samym - wg mnie - jeśli chcesz mieć wersje FF zawsze z załatanymi lukami bezpieczeństwa zdany jesteś na 99% jednak na Firefoksa z Mozilli (bądź z innych dystrybucji, które szybciej reagują na błędy programów, szczególnie te uznawane za krytyczne błędy bezpieczeństwa).
Nadto, numeracja Iceweasela, jak również sama jego funkcja ("Firefox pozbawiony praw własnościowych, które nie są do zaakceptowania przez Debiana") wobec istniejących różnic pomiędzy wydaniami FF i IW noszących taką samą numerację, powoduje pewnego rodzaju wprowadzanie w błąd użytkownika, co - moim zdaniem - nie powinno mieć miejsca (nie miałbym żadnych zastrzeżeń, gdyby IW nosił swoją własną numerację i niech tam robią co chcą).
Kruk - 08-04-2009 12:16
Czyli dotychczas używałem niezałatanej przeglądarki, zawierającej krytyczne luki bezpieczeństwa. No fajnie. :/ Ciekawe jakie jeszcze niespodzianki na mnie czyhają w tym systemie. Zainstalowałem sobie Firefoksa i to w katalogu domowym, z uprawnieniami zwykłego użytkownika. :) pozdrawiam
lis6502 - 08-04-2009 12:23
Jeśli aż tak bardzo Ci to przeszkadza to zgłoś buga Debianowi. Jeśli dewelperzy uznają że faktycznie Iceweasel w Lennym jest dziurawy, możesz być pewnien że wyjdą do niego akutalizacje.
Swoją drogą: masz dodane
?
amoureux - 08-04-2009 12:23
Czyli dotychczas używałem niezałatanej przeglądarki, zawierającej krytyczne luki bezpieczeństwa. No fajnie. Ciekawe jakie jeszcze niespodzianki na mnie czyhają w tym systemie. Zainstalowałem sobie Firefoksa i to w katalogu domowym, z uprawnieniami zwykłego użytkownika. Pozdrawiam
Czekają cię straszne niespodzianki i same wirusy, po których komputer ci spłonie bo masz "niezałataną" przeglądarkę
Mnie już od tygodnia komputer płonie bo miałem niezałataną przeglądarkę.
Kruk - 08-04-2009 12:28
Swoją drogą: masz dodane
?
Tak, mam dodane. :)
@amoureux
A coś mądrego też masz do napisania?
pavbaranov - 08-04-2009 12:40
lis6502 - Niestety security Debiana nie rozwiązuje problemów i nie łata tych dziur, które zostały załatane w wersjach FF 3.0.7 i 3.0.8, zatem nawet dodanie tych repozytoriów nic nie da. Oczywiście w tej sprawie.
lis6502 - 08-04-2009 12:42
Na Waszym miejscu panowie zgłaszałbym robala Debianowi.
pavbaranov - 08-04-2009 12:47
Na Waszym miejscu panowie zgłaszałbym robala Debianowi.
A co to da? Przecież Mozilla tych błędów nie trzyma dla siebie w tajemnicy. Są do zrobienia, ba zostały naprawione przez nią.
Rozumiem, że w Debianie są nieczytaci ;)
Przy okazji - raz zgłosiłem błąd Debianowi - cóż, odpowiedź rodem z MS zraziła mnie do zgłaszania im dalszych błędów.
amoureux - 08-04-2009 12:54
@amoureux
A coś mądrego też masz do napisania?
Wyrzuć komputer przez okno bo już na pewno jest zawirusowany z powodu niezałatanej przeglądarki, co więcej, możliwe że z powodu tej niezalatanej przeglądarki zainstalowała się u Ciebie tykająca bomba w komputerze i eksploduje w przeciągu doby.
W repozytoriach ,,Testing'' jest dostępna wersja 3.0.7-1.
lis6502 - 08-04-2009 12:59
Miałem na myśli raczej zgłośić te poprawki Mozilli do opakietowania, albo faktycznie błąd w iceweaselu. Jest taki mechanizm w debianowym systemie do sugerowania pakietów, sam kiedyś z tego korzystałem, o, tutaj :). Nie wiem czy do poprawek bezpieczeństwa jest coś bardziej adekwatnego, ale ja próbowałbym w ten sposób.
amoureux, to że Ty masz bezpieczeństwo gdzieś nie znaczy że masz się nabijać z kogoś komu na tym zależy.
amoureux - 08-04-2009 13:16
amoureux, to że Ty masz bezpieczeństwo gdzieś nie znaczy że masz się nabijać z kogoś komu na tym zależy.
Póki co Linux to nie Windows i aż tak bardzo to faktycznie bezpieczeństwem się nie przejmuję.
Ale jeśli koledze aż tak na tym bezpieczeństwie zależy to chyba nie pozostaje (na razie) nic innego jak zainstalować nowszą wersje Iceweasel z repozytoriów Testing/Sid, co nie jest zbytnio kłopotliwe.
pavbaranov - 08-04-2009 13:21
W repozytoriach Testing jest dostepna wersja 3.0.7-1
Masz w moim pierwszym poście napisane, które błędy bezpieczeństwa poprawia IW 3.0.7-1. Praktycznie jest to odpowiednik FF 3.0.6, albowiem żadne luki krytyczne i o najwyższym niebezpieczeństwie nie zostały usunięte.
Zanim coś polecisz, szczególnie gdy to wytłuszczasz - przeczytaj u źrodeł, które w poście tym są podane.
Miałem na myśli raczej zgłośić te poprawki Mozilli do opakietowania
Kiedy one zostały... opakietowane - jeśli rozumiem co masz na myśli ;)
Mi się jednak wydaje, że problem leży mimo wszystko w innym miejscu. Rozumiem, że opiekunowie IW są osobami, które - pomijając kwestie nakładu pracy, wolnego czasu itd - czytają źródła, z których biorą swe programy do dalszej obróbki. System zgłaszania błędów w Mozilli, ich akceptowania, nadawania im odpowiednich priorytetów jest jasny i klarowny. Sporo informacji również o tym, jakiego rodzaju to błędy. Nie znam się na tym, wierzę w tej materii osobom, które z bezpieczeństwem programów komputerowych są obeznane i skoro twierdzą oni, podobnie jak i Mozilla, która akurat w przypadku usunięcia 2 ostatnich błędów FF zrobiła to bardzo szybko, że były to w istocie krytyczne błędy. Rozwiązania ich zostały zaimplementowane w kodzie FF. Kod, patche są dostępne.
Mam zatem pytanie - dlaczego opiekunowie IW lekceważą te błędy, nadto - samą istotą tego programu ("wolnościowa wersja FF"), jak i numeracją sugerują dla "normalnego" użytkownika, który przecież nie siedzi w changelogach i nie porównuje ich, że wersja IW o numerze X jest porównywalna z wersją FF o tym samym numerze. Stosowana praktyka jest zwykłym wprowadzaniem użytkowników Debiana w błąd. Wydana dnia 13.11.2006 r. wersja IW mogła mieć numer 1, a późniejsze mogły się do niej odnosić jak chciały i nie byłoby problemu. Mając teraz IW w wersji przypuśćmy 2.x.y miałbym taką wersję, a jej oznaczenie nie sugerowałoby innego produktu. Nic bym wówczas nie miał do polityki Debiana (której, akurat w tym przypadku, nie rozumiem).
pavbaranov - 08-04-2009 13:25
Ale jeśli koledze az tak na tym bezpieczenstwie zalezy to chyba nie pozostaje (narazie) nic innego jak zainstalować nowszą wersje Iceweasel z repozytoriów Testing/Sid, co nie jest zbytnio kłopotliwe
Czy możesz czytać źródła zanim udzielisz swoich porad? ÂŻadna wersja IW, z żadnego repozytorium, nie ma załatanych tych błędów (mówię wyłącznie o priotytetach "high" i "critical") co obecna wersja FF. Jeśli komuś rzeczywiście zależy na wersji tej przeglądarki z usuniętymi błędami, to jedynym rozwiązaniem jest instalacja FF z Mozilli (być może SwiftFoksa bądź SwiftWeasela, ale wątpię, a nie sprawdzałem).
lis6502 - 08-04-2009 13:29
Po prostu zabiłeś mnie tym stwierdzeniem :mrgreen: Myślisz że jak nie masz Windowsa to śmiganie po przysłowiowych pornosach jest bezpieczne? Jasne że taki pliczek install-video-codec.exe wiele szkód nie narobi, ale nie chciałbyś pewnie żeby jakiś kod w Javie czy innym przenośnym języku wykradł Ci prywatne dane? Może to nie tak do końca na temat, ale w moim temacie pada kilka treściwych linków odnośnie tego, jak działa 'złośliwe oprogramowanie'.
amoureux - 08-04-2009 14:00
Ale jeśli koledze aż tak na tym bezpieczeństwie zalezy to chyba nie pozostaje (na razie) nic innego jak zainstalować nowszą wersje Iceweasel z repozytoriów Testing/Sid, co nie jest zbytnio kłopotliwe
Czy możesz czytać źródła zanim udzielisz swoich porad? ÂŻadna wersja IW, z żadnego repozytorium, nie ma załatanych tych błędów (mówię wyłącznie o priorytetach "high" i "critical") co obecna wersja FF. Jeśli komuś rzeczywiście zależy na wersji tej przeglądarki z usuniętymi błędami, to jedynym rozwiązaniem jest instalacja FF z Mozilli (być może SwiftFoksa bądź SwiftWeasela, ale wątpię, a nie sprawdzałem).
Być może i mój malutki błąd bo nie czytałem "źródła"? I co z tego? Prędzej czy później i tak wyjdzie wersja, w której będzie TO poprawione (jeśli TO są takie tragiczne błędy).
Więc niespecjalnie widzę sens tej całej dyskusji, takie gadanie i tak żadnych poprawek nie przyniesie, one w końcu będą jeśli są konieczne, a czy to prędzej czy później... Komputer nie spłonie do tego czasu (pomimo moich wcześniejszych żartów).
Po prostu zabiłeś mnie tym stwierdzeniem :mrgreen: Myślisz że jak nie masz Windowsa to śmiganie po przysłowiowych pornosach jest bezpieczne? Jasne że taki pliczek install-video-codec.exe wiele szkód nie narobi, ale nie chciałbyś pewnie żeby jakiś kod w Javie czy innym przenośnym języku wykradł Ci prywatne dane? Może to nie tak do końca na temat, ale w moim temacie pada kilka treściwych linków odnośnie tego, jak działa 'złośliwe oprogramowanie'.
A co, Ty śmigasz po pornosach? Masz 21 lat to może czas na to żebyś się rozprawiczył?
To ja nawet nie znając się na komputerach wiem, że w Linuksie nie ma takiego zagrożenia jak w Windowsie, i to nawet dziecko wie, więc zabijasz mnie swoją gadką.
Nagle wyrasta tutaj jakaś głupia gadka, na którą ja tracę czas, a do przedszkola jadę po dzieciaka. Więc pa.
lis6502 - 08-04-2009 14:07
Racja, nie znasz się na komputerach. To że nie ma takiego zagrożenia, nie oznacza że nie ma go w ogóle.
Na czytaniu widocznie też się nie znasz. Szerokiej drogi.
amoureux - 08-04-2009 14:15
To jeszcze tak na wyjściu
Zagrożenie zawsze jest, było i będzie (nawet ci sufit moze spasc na leb), tym bardziej jesli ktos śmiga tak jak piszesz po niewiadomo jakich stronach, dla kogos takiego to serio kazda aktualizacja moze byc na wage złota ... W mojej ocenie (i wielu wielu innych) nie zmienia to tego że Linux jest bezpiecznym systemem, bezpieczniejszym (jak narazie) od windowsa
lis6502 - 08-04-2009 14:28
Zgodzę się jak najbardziej!
Gdyby zagrożenie kryło się tylko w takich podejrzanych zakątkach internetu to życie byłoby dużo piękniejsze. Niestety, w chwili gdy piszę te słowa, ktoś gdzieś szykuje pułapkę wykupując domenę (przykładowo) www.debian.linux.pl.org , kradnie oryginalny layout i montuje w kodzie strony jakieś paskudztwo, które teorytycznie może zaszkodzić każdemu systemowi (wspomniany wyżej javascript). Ja i Ty zorientujemy się że coś tu śmierdzi, ktoś kto nie spoktał się wcześniej z tą stroną narazi się na atak.
Z tym też się zgodzę, co nie czyni go systemem-twierdzą. Gdyby ataki 'przeglądarkowe' nie były skuteczne na Linuksie, to nie byłoby sensu łatać przeglądarek. Logiczne.
pavbaranov - 08-04-2009 14:31
wiec niespecjalnie widze sens tej calej dyskusji,
Fakt, robisz z tego wątku flame'a i trollujesz.
Jeszcze raz - zanim wypowiesz się na jakiś temat spróbuj go zrozumieć.
Zobacz sobie choćby na: http://www.linux.pl/?id=news&show=5298 Tu jest po polsku. Na czym polegają luki naprawione w FF 3.0.7 i 8 odsyłam do stron Mozilli. Wówczas - być może - zrozumiesz w czym rzecz.
I jeśli nikt już nie będzie w stanie sensownego coś napisać w wyjaśnieniu pytania Krukowi, a dalej dyskusja będzie o niczym, to temat będzie trzeba zamknąć.
giaur - 08-04-2009 15:04
Roznica jest taka, ze w Linuksie zaden zlosliwy kod nie rozwali ci systemu, a pod windows i owszem.
A tak wlasciwie, to chetnie bym poczytal o przykladach "uruchomienia złośliwego kodu" w systemach linuksowych i wynikających z tego konsekwencjach - czyli jakie dane można w ten sposób wykraść od użytkownika linuksa i co można dokładnie zdziałać.
Jakos sobie nie wyobrazam, ze ktos mi podrzuci trojana albo keyloggera napisanego w javascript i przemyconego przez dziure w przegladarce, wiec o jakich "złośliwych kodach" i o wykradaniu jakich informacji tu dokładnie mówimy? Podejrzewam, że nikt z was dokładnie nie wie o czym pisze - ani strona opowiadająca się za tym, że linuks jest bezpieczny na 100% żeby nie wiem co, ani tez druga strona :-P
pavbaranov - 08-04-2009 15:22
giaur Błędy są opisane. I chyba nie o to chodzi nawet co ja, czy ktokolwiek jest w stanie z tego zrozumieć.
Używamy komputerów do różnych zadań. Przeglądamy internet, stosując m.in. FF/IW, pośród przeglądanych stron, są i takie, które przechowują na komputerze różne dane, używamy tych przeglądarek także do kontaktu np. z bankami i innymi instytucjami. Jeśli istnieje możliwość wywołania złośliwego kodu, który jest w stanie te dane pobrać i jeśli jest rozwiązanie, które akurat tę możliwość blokuje, to byłbym głupim, gdybym nie chciał go zainstalować.
amoureux - 08-04-2009 15:47
wiec niespecjalnie widze sens tej calej dyskusji,
Fakt, robisz z tego wątku flame'a i trollujesz.
Jeszcze raz - zanim wypowiesz się na jakiś temat spróbuj go zrozumieć.
Zobacz sobie choćby na: http://www.linux.pl/?id=news&show=5298 Tu jest po polsku. Na czym polegają luki naprawione w FF 3.0.7 i 8 odsyłam do stron Mozilli. Wówczas - być może - zrozumiesz w czym rzecz.
I jeśli nikt już nie będzie w stanie sensownego coś napisać w wyjaśnieniu pytania Krukowi, a dalej dyskusja będzie o niczym, to temat będzie trzeba zamknąć.
Jak to się ma do pytania Kruka?
Trzymają niezałataną wersje i już, wkrótce powinna być załatana, że tak długo to trwa to trudno.
Prawdopodobieństwo, że pobierzesz jakiś złośliwy kod jest i tak małe i wyolbrzymiasz. Gdzie mi np. grozi jakiś złośliwy kod? Na Toyota Bank? Na gazeta.pl? Dlatego ja się niczym nie martwię bo ja mam swoje wybrane strony, na które zaglądam.
Swoją drogą i tak trzeba przyjąć do wiadomości, że takich błędów może być znacznie więcej (i pewnie jest) więc co mam zrobić, zaprzestać korzystania z internetu?
dowoszek - 08-04-2009 16:52
pavbaranov, myślę że korzystniej dla tego wątku i ogólnego wizerunku społeczności linuksa ;) będzie jeśli zaprzestaniesz "polemiki" z amoureux... szkoda zdrowia :)
fnmirk - 08-04-2009 16:58
amoureux, można dyskutować bez ataku na innych.
Proszę o spokój i wyważone opinie.
wieszti - 08-04-2009 20:53
Tak sobie czytam, iż aż nie dowierzam że takie krytyczne luki mogłyby być niezałatane, straciłbym zaufanie do developerów Debiana
Zacząłem więc szukać i znalazłem:) Błąd był po prostu w xulrunner, jak widać w linku niżej, wszystko załatane więc można spać spokojnie.
http://packages.debian.org/changelog...nny2/changelog
[Dodano: 2009-04-08, 21:10]
ÂŻadna wersja IW, z żadnego repozytorium, nie ma załatanych tych błędów (mówię wyłącznie o priotytetach "high" i "critical") co obecna wersja FF.
A jednak ma załatane :)
amoureux - 08-04-2009 21:15
Tak sobie czytam, iż aż niedowierzam że takie krytyczne luki mogłyby być niezałatane, straciłbym zaufanie do developerów Debiana
Zacząłem więc szukać i znalazłem:) Bug był po prostu xulrunner, jak widać w linku niżej, wszystko załatane więc można spać spokojnie:)
http://packages.debian.org/changelog...nny2/changelog
[ Dodano: 2009-04-08, 21:10 ]
ÂŻadna wersja IW, z żadnego repozytorium, nie ma załatanych tych błędów (mówię wyłącznie o priotytetach "high" i "critical") co obecna wersja FF. .
A jednak ma załatane :)
:-) dziekuje, nie wiem czy to wymaga dodatkowego komentarza
pavbaranov, myślę że korzystniej dla tego wątku i ogólnego wizerunku społeczności linuksa ;) będzie jeśli zaprzestaniesz "polemiki" z amoureux... szkoda zdrowia :)
Jakkolwiek to rozumieć.
Nie każdy ma takie same poglądy a forum jest od tego by je wymieniać. A (nie)korzystne dla wizerunku Linuksa jest co innego niż "polemika" dwóch osób
amoureux, można dyskutować bez ataku na innych.
Proszę o spokój i wyważone opinie.
Tobie nie szkoda czasu na poprawianie "komputer" na "Komputer"? poważnie pytam (poważnie równiez pozostawiam do poprawienia)
fnmirk - 08-04-2009 21:30
amoureux, ja za chwilę poważnie usuną Twoje konto i skończy się Twoja ignorancja.
AdeBe - 08-04-2009 21:32
Roznica jest taka, ze w Linuksie zaden zlosliwy kod nie rozwali ci systemu, a pod windows i owszem.
Mała to pociecha. Naprawdę wolałbym, zeby wirus rozwalił mi system w drobny mak, ale oszczędził moje pliki, niż na odwrót.
poważnie pytam (poważnie równiez pozostawiam do poprawienia)
Takie odzywki nazwałbym chamstwem, ale Ja się nie znam...
fnmirk - 08-04-2009 22:21
amoureux, usuwam Twój post i każdy następny, w którym będzie chodź jedno zdanie nie związane z tym tematem.
Kruk - 09-04-2009 01:29
Dzięki wszystkim, którzy rozwiali moje wątpliwości i odpowiedzieli na pytanie.
pozdrawiam ;-)
fnmirk - 09-04-2009 01:38
Można do tego wszystkiego dodać wypowiedź bercika.
I odnośnik jaki przedstawił w swojej wypowiedzi:
http://www.debian.org/security/2009/dsa-1756
pavbaranov - 09-04-2009 07:15
A jednak ma załatane :)
Przeglądałem tego xulrunnera i jednak chyba czytać nie umiem :(
Przepraszam za wprowadzenie w błąd, ale jednak nie do końca.
Jeśli dobrze widzę (to nie kokieteria), to spośród tegorocznych luk naprawionych do wersji 3.0.8 przez Mozillę, Debian uwzględnił MFSA (w iceweasel i w xulrunnerze) -1-6, 9, 11-13. Mozilla przynajmniej luki o nr 7,8 i 10 również traktowała jako krytyczne. Tych nie usuwa ani iceweasel, ani xulrunner. Pytanie, jaka paczka mogłaby jeszcze je uwzględnić. Trzeba poszukać dalej.
wieszti - 09-04-2009 11:47
pavbaranov, chyba jednak czas wybrać się do okulisty;)
Przyjrzyj się dokładnie jeszcze raz tu http://packages.debian.org/changelog...nny2/changelog (zwróć uwagę na przecinki i łączniki).
Ja tam widzę że wszystkie krytyczne luki załatane, 7 i 8 też, 10 dotyczy błędu w bibliotece PNG więc tam należy szukać ale na pewno jest załatana, jedynie 11 o priorytecie low załatana jest dopiero w paczce iseweasel w Sidzie.
Tak na marginesie to ten temat uzmysłowił mi że teoretycznie najmniej bezpieczną gałęzią Debiana jest testing. W stable mamy błyskawiczne łaty, w Sidzie w miarę najnowsze wersje już załatane przez autorów, natomiast w testingu leżakują sobie paczki pełne błędów;)
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
