Linux pro server

Sobota Únor 5 23:52:36 CET 2005

On Sat, Feb 05, 2005 at 05:20:04PM +0100, Peter Surda wrote:
> On Sat, Feb 05, 2005 at 04:05:07PM +0100, Milan Keršláger wrote:
> > Ha! Nejak se to od doby vydani zmenilo, takze dnes jiz 7 let, viz:
> [cut]
> 
> Je to skutocne zaujimava a v praxi relevantna informacia a tento krok musim
> pripisat Red Hat-u k dobru.
> 
> Bohuzial, je mi znamych len malo konkretnych porovnani tykajucich sa kvality
> poskytovania updatov, co je nemenej dolezite. Ako som uz pisal, prakticky
> kazda distribucia tu ma podla mna nedostatky. Zaujima ma to jednak kvoli
> nasadeniu, jednak "akademicky" :-). Vie niekto o takomto porovnani alebo
> pripadne o specifickej policy ktoru ohladom tohoto nejaka distribucia ma?

Jistou sumarizaci dela http://lwn.net, ale i tam chybi klasifikace,
trideni podle verze (tj. jedna security advisory tam muze byt od jedne
distribuce nekolikrat, protoze je to pro vsechny soucasne podporovane
verze dohromady a naopak tam neni poznat, kdyz nekdo vyda opravu
opravene opravy).

Chteji to pro letosni rok nejak vylepsit, ale zatim to nevypada...

Takze to v podstate muzete tridit na remote a local exploit a pak na
aplikace, sdilena knihovna a jadro.

Dalsi problem je v tom, ze treba v RHEL3 je exec-shield a colored-stack,
pouzivaji se PIE (pozicne nezavisle) binarky, pouziva se NX pro zasobnik
atp., takze nektere exploity (i pres vydanou opravu) distribuci
postihuji jen teoreicky nebo vubec ne.

No a se SELinuxem to bude jeste komplikovanejsi, protoze pripadny
exploit treba pujde vyuzit jen k velmi omezenemu zaskodnictvi nebo vubec
k nicemu (na rozdil od distribuce se stejnym problemem, ale bez
SELinuxu).

Chyby v jadre casto funguji jen na nekterych platformach atd.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/ke/