Distribuce podle bezpecnosti?

[Milan Kerslager]

On Fri, 8 Jun 2001, Vaclav Ovsik wrote:

> P.P.S: ten GnuPG byl jenom priklad, protoze zrovna vylez, kdyz si se
> ptal :-)

RH meli update po 9 dnech, SuSE mela update po 3 dnech (na ftp.suse.cz ale
update neni), Mandrake po 1 dni (od vyjiti GnuPG 1.0.6).

Pokud si nekdo da praci srovnat vsechny updaty, muze to byt zajimavy
prehled. Hodnoceni ale (jak se zde uz pretrasalo) bude slozitejsi (napr.
kolik zaplat na zaplaty, rozlisit chyby distribuce a puvodnich aplikaci,
rozclenit podle zavaznosti apod).

Zrovna tohle je sice security, ale podle (mych) dostupnych informaci je
exploit spise teoreticky a nedosahnete jim vyssich prav (tj. lze mozna
zfalsovat kontrolu dig. podpisu, ale neni to ani primy root ani remote
exploit, takze informovany admin muze riziko odstranit vhodnym chovanim).

Naproti tomu napriklad jadro 2.2.19 (ptrace root exploit) zverejnil
Mandrake a Red Hat 17.4, SuSE pak az 17.5.2001 (prestoze 2.2.19 vysla uz
25.3.2001 a obsahovala opravu exploitu, ktery byl na serveru SecurityFocus
zverejnen 31.3.2001). Zde bylo videt (minimum skoro 3 tydny!), ze se
nikomu nechtelo do noveho jadra bez dukladneho testovani (2.2.18 byla diky
zmenam ve VM dost nepouzitelna).

Vysledkem je, ze napriklad v updatech od RH je ted jadro 2.2.19, ktere ma
na sobe dalsich 75 patchu (skoro 8 MB) a v ostatnich distribucich to bude
asi velmi podobne. Pravdepodobne se tedy dosahlo toho, ze nyni maji (temer
vsichni) na svych strojich velmi stabilni jadro (za cenu jisteho
zpozdeni).

Ja sam jsem daval 2.2.19 hned 1.4, kdyz jsem si o exploitu precetl a jiste
to udelal i kazdy jiny rozumny admin (radeji jsem riskoval nestabilitu s
vedomim vsech dusledku, ktere sly ale na moje triko), ale to se uz o
principu opakuju...

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/