Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Cześć, mam krótkie pytanie, które nurtuje mnie od dawna. Chodzi o aktualizacje, głównie te dotyczące bezpieczeństwa. Mianowicie, dlaczego np., kiedy Ubuntu 10.04 (specjalnie ta wersja, ze względu na podobną w stosunku do Squeeze, wersję kernela - 2.6.32) w dniu 29 czerwca bieżącego roku, naprawia kilka błędów [url=http://www.ubuntu.com/usn/usn-1492-1/][color=blue]Security Notice USN-1492-1[/color][/url], natomiast w [i]ogłoszeniach[/i] Debiana nie ma na ten temat najmniejszej wzmianki? Przypominam, że - [u]domyślnie[/u] - oba systemy korzystają z kernela z serii 2.6.32. Oczywiście nie wspominam o możliwych aktualizacjach, zmianach wersji, ponieważ to jest dosyć oczywiste.
Być może chodzi o to, że w/w przykład błędów, nie jest tak bardzo istotny i Deweloperzy Debiana nie zdecydowali się na komunikat. Albo - pomimo podobnych numerków - oba systemy tak naprawdę korzystają z zupełnie innych kerneli, oczywiście opartych na oficjalnym, ale z dodatkiem [i]swoich[/i] patchy etc. Dodam jeszcze, że podobnie sytuacja wygląda z innymi pakietami, np. Gentoo dnia 25 czerwca 2012 r ogłasza [url=http://www.gentoo.org/security/en/glsa/glsa-201206-36.xml][color=blue]GLSA 201206-36[/color][/url] odnoszący się do [b]logrotate[/b], ale Debian [i]milczy[/i] w tym temacie. Jak to jest? Znowu czegoś nie rozumiem, czy jest to normalne?
Offline
Hej, pisanie [i]wiadomości za wiadomością[/i] podyktowane, jest tylko chęcią zwrócenia uwagi na - prawdopodobną - odpowiedź na pytanie zawarte w tym temacie. Otóż, sądząc po oficjalnej treści, wspomnianego komunikatu [b]GLSA[/b] dot. pakietu [b]logrotate[/b], znaleziona luka zdaje się tyczyć - tylko(?) - systemu Gentoo Linux, co poniekąd wyjaśnia brak reakcji ze strony Deweloperów Debiana. Wspomniane ogłoszenie zawiera interesującą treść: [i]The default configuration of logrotate on Gentoo Linux...[/i]. Natomiast całość wygląda w ten oto sposób:
logrotate: symlink and hard link attacks Package(s): logrotate CVE #(s): CVE-2011-1549 Created: June 26, 2012 Updated: June 27, 2012 Description: From the CVE entry: The default configuration of logrotate on Gentoo Linux uses root privileges to process files in directories that permit non-root write access, which allows local users to conduct symlink and hard link attacks by leveraging logrotate's lack of support for untrusted directories, as demonstrated by directories under /var/log/ for packages. Alerts: Gentoo 201206-36 2012-06-25
Wygląda na to, że w jakimś stopniu znalazłem odpowiedź na nurtujące mnie pytanie, które zawarłem w 1.ym poście. Mam tylko nadzieję, że jest w tym [i]ziarenko[/i] prawdy...
Offline
zapytaj opiekuna pakietu logrotate
Offline
Odnoszę wrażenie, że nie do końca zrozumieliśmy się. Głównym założeniem tego tematu, była chęć dowiedzenia się, dlaczego istnieją takie, nazwijmy je [i]rozbieżności[/i], między Dystrybucjami w odniesieniu do aktualizacji pakietów. Jeśli o mnie chodzi, to byłem przekonany, że skoro Dystrybucja A łata jakąś dziurę, to pozostałe B,C, D etc. także podejmą stosowne działania. Jak się okazało, wygląda to troszeczkę inaczej. [b]Logrotate[/b] wraz z Gentoo było jedynie przykładem, podobnie zresztą jak Ubuntu i aktualizacja kernela 2.6.32. Z przytoczonego w moim 2.im poście komunikatu, wynika, że owy problem z [b]logrotate[/b] odnosił się właśnie tylko(?) do Gentoo - [i]The default configuration of logrotate on Gentoo Linux[/i] (...). Z tego zdania wnioskuję, że owa [i]niezgodność, rozbieżność[/i] odnośnie aktualizacji poszczególnych pakietów, jest czymś zupełnie normalnym. Dlatego właśnie Debian nie opublikował 2.óch komunikatów dot. np. kernela (patrz 1. post; Ubuntu) oraz [b]logrotate[/b].
Offline
Wszystko to jest w gestii paczkujących.
Na takim Ubuntu może szybciej łatają niż na Debianie, może na Ubuntu była nałożona wcześniej łata przez nich, która zawierała akurat błąd stąd jajko Debiana nie musi być łatane.
Offline
Tu z pewnością będą znali odpowiedź: http://lists.debian.org/debian-security/
Offline
Słusznie [b]Azhag[/b]. Wiesz, myślałem nawet o tym, ale miałem wątpliwości co do... powagi tego pytania. Po prostu nie chciałem, aby ludzie, którzy biorą czynny udział, poprzez udzielanie się na tej liście mailingowej i de facto zajmują się rzeczami naprawdę ważnymi, nie musieli tracić czasu odpowiadając na tego typu pytania. Poza tym, wydaje mi się, że już znalazłem odpowiedź, dzięki Deweloperom Gentoo i ich komunikacie.
[b]Bns[/b] również podsunąłeś ciekawą tezę, ale - moim zdaniem - miesięczny [i]poślizg[/i] w aktualizacji, zwłaszcza kernela, jest czymś niepojętym.
Offline
Niby tak, ale jak mi się kernel kraszuje (tak mi się wydaje) to system jako tako działa i nie ma problemów
W każdym razie myślę, że jest tak, że patch idzie np. do Ubuntu, a potem do głównego kernela, a jak jest ok, to idzie do wszystkich. Aktualizację w Debianie są głównie przez to, że jest błąd (Stable), a wątpię, by istniała jakaś korelacja między Gentoo, a Debianem i jak jest nowa wersja pakietu (łatana) to wtedy wchodzi.
Moja Teoria :D
Fervi
Offline
Jak np. na wirtualnej maszynie działałem i przeciążyłem normalny system to dostawałem komunikat o Soft Bugu, albo jak dostawałem sporo różnych linijek o crashu (Call trace). Tak mi się wydaje, że to o to chodzi :D
Fervi
Offline
[quote=remi][b]Bns[/b] również podsunąłeś ciekawą tezę, ale - moim zdaniem - miesięczny [i]poślizg[/i] w aktualizacji, zwłaszcza kernela, jest czymś niepojętym.[/quote]
Jak widzisz występują takie opóźnienia :) Tu masz status tych dwóch błędów w Debianie
http://security-tracker.debian.org/tracker/CVE-2012-2319
http://security-tracker.debian.org/tracker/CVE-2012-2313
BTW CentOS, Oracle Linux korzystają z tych samych źródeł dla budowy pakietów (Red Hata EL) ale różnice w wydawaniu pakietów pomiędzy CentOS i Oracle są różne, raz jedni wydadzą szybciej raz drudzy.
Offline
[b]bns[/b]; tak, jeśli chodzi o CentOS, to wiem, że ma miejsce coś takiego. Czyli reasumując, jest to najzupełniej normalne zjawisko?
Offline
Ja bym się martwił, czy wszystkie poprawki wpadają do kodu źródłowego :P Mam nadzieję, że nie na darmo reportuję
Fervi
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00098 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.250.86' WHERE u.id=1 |
0.00086 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.250.86', 1732494296) |
0.00046 | SELECT * FROM punbb_online WHERE logged<1732493996 |
0.00060 | DELETE FROM punbb_online WHERE ident='3.144.109.159' |
0.00047 | SELECT topic_id FROM punbb_posts WHERE id=207886 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=21536 ORDER BY posted |
0.00033 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21536 AND t.moved_to IS NULL |
0.00035 | SELECT search_for, replace_with FROM punbb_censoring |
0.00094 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21536 ORDER BY p.id LIMIT 0,25 |
0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21536 |
Total query time: 0.00599 s |