Forum Debian Users Gang

remi · 2012-07-02 16:38:38

Cześć, mam krótkie pytanie, które nurtuje mnie od dawna. Chodzi o aktualizacje, głównie te dotyczące bezpieczeństwa. Mianowicie, dlaczego np., kiedy Ubuntu 10.04 (specjalnie ta wersja, ze względu na podobną w stosunku do Squeeze, wersję kernela - 2.6.32) w dniu 29 czerwca bieżącego roku, naprawia kilka błędów [url=http://www.ubuntu.com/usn/usn-1492-1/][color=blue]Security Notice USN-1492-1[/color][/url], natomiast w [i]ogłoszeniach[/i] Debiana nie ma na ten temat najmniejszej wzmianki? Przypominam, że - [u]domyślnie[/u] - oba systemy korzystają z kernela z serii 2.6.32. Oczywiście nie wspominam o możliwych aktualizacjach, zmianach wersji, ponieważ to jest dosyć oczywiste.

Być może chodzi o to, że w/w przykład błędów, nie jest tak bardzo istotny i Deweloperzy Debiana nie zdecydowali się na komunikat. Albo - pomimo podobnych numerków - oba systemy tak naprawdę korzystają z zupełnie innych kerneli, oczywiście opartych na oficjalnym, ale z dodatkiem [i]swoich[/i] patchy etc. Dodam jeszcze, że podobnie sytuacja wygląda z innymi pakietami, np. Gentoo dnia 25 czerwca 2012 r ogłasza [url=http://www.gentoo.org/security/en/glsa/glsa-201206-36.xml][color=blue]GLSA 201206-36[/color][/url] odnoszący się do [b]logrotate[/b], ale Debian [i]milczy[/i] w tym temacie. Jak to jest? Znowu czegoś nie rozumiem, czy jest to normalne?

remi · 2012-07-31 22:21:42

Hej, pisanie [i]wiadomości za wiadomością[/i] podyktowane, jest tylko chęcią zwrócenia uwagi na - prawdopodobną - odpowiedź na pytanie zawarte w tym temacie. Otóż, sądząc po oficjalnej treści, wspomnianego komunikatu [b]GLSA[/b] dot. pakietu [b]logrotate[/b], znaleziona luka zdaje się tyczyć - tylko(?) - systemu Gentoo Linux, co poniekąd wyjaśnia brak reakcji ze strony Deweloperów Debiana. Wspomniane ogłoszenie zawiera interesującą treść: [i]The default configuration of logrotate on Gentoo Linux...[/i]. Natomiast całość wygląda w ten oto sposób:

Kod:

logrotate: symlink and hard link attacks
Package(s):    logrotate     CVE #(s):    CVE-2011-1549
Created:    June 26, 2012     Updated:    June 27, 2012
Description:     From the CVE entry:

The default configuration of logrotate on Gentoo Linux uses root privileges to process files in directories 
that permit non-root write access, which allows local users to conduct symlink and hard link attacks 
by leveraging logrotate's lack of support for untrusted directories, 
as demonstrated by directories under /var/log/ for packages.
Alerts:     
Gentoo     201206-36     2012-06-25

Wygląda na to, że w jakimś stopniu znalazłem odpowiedź na nurtujące mnie pytanie, które zawarłem w 1.ym poście. Mam tylko nadzieję, że jest w tym [i]ziarenko[/i] prawdy...

Yampress · 2012-08-01 14:27:03

zapytaj opiekuna pakietu logrotate

remi · 2012-08-01 15:52:40

Odnoszę wrażenie, że nie do końca zrozumieliśmy się. Głównym założeniem tego tematu, była chęć dowiedzenia się, dlaczego istnieją takie, nazwijmy je [i]rozbieżności[/i], między Dystrybucjami w odniesieniu do aktualizacji pakietów. Jeśli o mnie chodzi, to byłem przekonany, że skoro Dystrybucja A łata jakąś dziurę, to pozostałe B,C, D etc. także podejmą stosowne działania. Jak się okazało, wygląda to troszeczkę inaczej. [b]Logrotate[/b] wraz z Gentoo było jedynie przykładem, podobnie zresztą jak Ubuntu i aktualizacja kernela 2.6.32. Z przytoczonego w moim 2.im poście komunikatu, wynika, że owy problem z [b]logrotate[/b] odnosił się właśnie tylko(?) do Gentoo - [i]The default configuration of logrotate on Gentoo Linux[/i] (...). Z tego zdania wnioskuję, że owa [i]niezgodność, rozbieżność[/i] odnośnie aktualizacji poszczególnych pakietów, jest czymś zupełnie normalnym. Dlatego właśnie Debian nie opublikował 2.óch komunikatów dot. np. kernela (patrz 1. post; Ubuntu) oraz [b]logrotate[/b].

bns · 2012-08-01 16:10:09

Wszystko to jest w gestii paczkujących.
Na takim Ubuntu może szybciej łatają niż na Debianie, może na Ubuntu była nałożona wcześniej łata przez nich, która zawierała akurat błąd stąd jajko Debiana nie musi być łatane.

azhag · 2012-08-01 16:21:54

Tu z pewnością będą znali odpowiedź: http://lists.debian.org/debian-security/

remi · 2012-08-01 17:17:24

Słusznie [b]Azhag[/b]. Wiesz, myślałem nawet o tym, ale miałem wątpliwości co do... powagi tego pytania. Po prostu nie chciałem, aby ludzie, którzy biorą czynny udział, poprzez udzielanie się na tej liście mailingowej i de facto zajmują się rzeczami naprawdę ważnymi, nie musieli tracić czasu odpowiadając na tego typu pytania. Poza tym, wydaje mi się, że już znalazłem odpowiedź, dzięki Deweloperom Gentoo i ich komunikacie.

[b]Bns[/b] również podsunąłeś ciekawą tezę, ale - moim zdaniem - miesięczny [i]poślizg[/i] w aktualizacji, zwłaszcza kernela, jest czymś niepojętym.

fervi · 2012-08-01 20:09:30

Niby tak, ale jak mi się kernel kraszuje (tak mi się wydaje) to system jako tako działa i nie ma problemów

W każdym razie myślę, że jest tak, że patch idzie np. do Ubuntu, a potem do głównego kernela, a jak jest ok, to idzie do wszystkich. Aktualizację w Debianie są głównie przez to, że jest błąd (Stable), a wątpię, by istniała jakaś korelacja między Gentoo, a Debianem i jak jest nowa wersja pakietu (łatana) to wtedy wchodzi.

Moja Teoria :D

Fervi

Pavlo950 · 2012-08-01 20:21:21

[quote=fervi]Niby tak, ale jak mi się kernel kraszuje (tak mi się wydaje) to system jako tako działa i nie ma problemów[/quote]
Dziwne, mógłbyś to wyjaśnić?

fervi · 2012-08-01 20:23:03

Jak np. na wirtualnej maszynie działałem i przeciążyłem normalny system to dostawałem komunikat o Soft Bugu, albo jak dostawałem sporo różnych linijek o crashu (Call trace). Tak mi się wydaje, że to o to chodzi :D

Fervi

bns · 2012-08-02 09:21:16

[quote=remi][b]Bns[/b] również podsunąłeś ciekawą tezę, ale - moim zdaniem - miesięczny [i]poślizg[/i] w aktualizacji, zwłaszcza kernela, jest czymś niepojętym.[/quote]
Jak widzisz występują takie opóźnienia :) Tu masz status tych dwóch błędów w Debianie
http://security-tracker.debian.org/tracker/CVE-2012-2319
http://security-tracker.debian.org/tracker/CVE-2012-2313

BTW CentOS, Oracle Linux korzystają z tych samych źródeł dla budowy pakietów (Red Hata EL) ale różnice w wydawaniu pakietów pomiędzy CentOS i Oracle są różne, raz jedni wydadzą szybciej raz drudzy.

remi · 2012-08-02 21:36:13

[b]bns[/b]; tak, jeśli chodzi o CentOS, to wiem, że ma miejsce coś takiego. Czyli reasumując, jest to najzupełniej normalne zjawisko?

fervi · 2012-08-03 00:44:07

Ja bym się martwił, czy wszystkie poprawki wpadają do kodu źródłowego :P Mam nadzieję, że nie na darmo reportuję

Fervi

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00117	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.33.244' WHERE u.id=1
0.00215	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.33.244', 1732487356)
0.00030	SELECT * FROM punbb_online WHERE logged<1732487056
0.00051	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21536 AND t.moved_to IS NULL
0.00022	SELECT search_for, replace_with FROM punbb_censoring
0.00266	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21536 ORDER BY p.id LIMIT 0,25
0.00080	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21536
Total query time: 0.00794 s

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-02 16:38:38

remi - amputować akrobatów

Różnice dot. aktualizacji pomiędzy dystrybucjami?

#2 2012-07-31 22:21:42

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

Kod:

#3 2012-08-01 14:27:03

Yampress - Imperator

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#4 2012-08-01 15:52:40

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#5 2012-08-01 16:10:09

bns - unknown

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#6 2012-08-01 16:21:54

azhag - Admin łajza

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#7 2012-08-01 17:17:24

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#8 2012-08-01 20:09:30

fervi - Użytkownik

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#9 2012-08-01 20:21:21

Pavlo950 - człowiek pasjonat :D

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#10 2012-08-01 20:23:03

fervi - Użytkownik

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#11 2012-08-02 09:21:16

bns - unknown

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#12 2012-08-02 21:36:13

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#13 2012-08-03 00:44:07

fervi - Użytkownik

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

Stopka forum

Informacje debugowania