На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-7-17 на главную / новости от 2003-7-17
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 17 июля 2003 г.

Microsoft предупреждает о критической проблеме Windows

Пользователям Windows следует готовиться к установке на свой компьютер еще одного обновления от Microsoft.

В среду утром софтверный гигант выпустил патч, затыкающий критическую дыру, сквозь которую злоумышленник может влезть в компьютер с любой версией Windows, кроме Windows ME. Ошибку обнаружила и помогла Microsoft исправить ее группа польских хакеров и независимых секьюрити-консультантов, называющая себя Last Stage of Delirium.

«Следует подчеркнуть, что эта уязвимость несет в себе гигантскую угрозу и соответствующие заплатки, предоставляемые Microsoft, необходимо установить немедленно», — говорится в рекомендации группы, опубликованной на ее веб-сайте. Группа предупреждает, что в интернете скоро появятся программы для использования данной уязвимости.

Ошибка кроется в компоненте операционной системы, который позволяет другим компьютерам обращаться к системе Windows с запросами на исполнение действий или сервисов. Этот компонент, называемый процессом вызова удаленных процедур (remote procedure call, RPC), отвечает за такие задачи, как разделение файлов и предоставление доступа к общему принтеру.

Направляя в RPC слишком много данных, атакующий может добиться полного доступа к системе. «Он сможет выполнять любые действия на сервере, — говорится в рекомендации Microsoft. — Например, атакующий может изменить веб-страницы, отформатировать жесткий диск или добавить в группу администраторов нового пользователя».

Джефф Джоунс, руководитель проекта Trustworthy Computing в Microsoft, говорит, что, кроме установки патча, пользователям и системным администраторам нужно перекрыть любые неиспользуемые каналы, или порты. «Заказчикам следует защитить свою сеть брандмауэром, — говорит он. — Индивидуальным пользователям необходимо применять Internet Connection Firewall или какой-либо иной персональный брандмауэр». Internet Connection Firewall присутствует в Windows XP и Windows 2003 и служит для ограничения способов проникновения в систему из сети.

Порты — это стандартизованные адреса ПО, через которые приложения обмениваются данными. Брандмауэры предотвращают доступ к сервисам обмена из интернета, блокируя соответствующие порты.

В среду компания Internet Security Systems предупредила своих заказчиков об угрозе. В своих рекомендациях эта секьюрити-компания сообщает, что ввиду серьезности данной уязвимости она повысила общий уровень опасности угроз, исходящих из интернета.

Microsoft второй год развивает свою инициативу Trustworthy Computing, нацеленную на повышение доверия заказчиков к компании. Одни превозносят эту инициативу как смелый шаг на пути к завоеванию лидерства в сфере безопасности, другие критикуют ее за неэффективность.

Джоунс утверждает, что компания учится на ошибках. В данном случае Microsoft проанализировала, куда мог проникнуть обнаруженный дефект, и разработала план мероприятий по его выявлению в собственных инструментах разработки. «Мы модернизируем наш инструментарий автоматического сканирования, чтобы гарантировать обнаружение проблемы данного типа в будущем», — говорит он. 

 Предыдущие публикации:
2003-07-10   Microsoft залатала дыры в Windows
2003-07-14   Эксперт: уязвимость Windows сохраняется
 В продолжение темы:
2003-07-28   Хакерский код может спустить с цепи Windows-червя
2003-08-21   Microsoft предупреждает о критических ошибках в IE
Обсуждение и комментарии
добрый
17 Jul 2003 2:53 PM
я не понял, W2k3 она тоже того?
Самый безопасный продукт MS, или все как всегда?
 

__
17 Jul 2003 2:55 PM
Шо, опять??? (c) волк & пёс
 

СтранниК
17 Jul 2003 3:08 PM
Ошибка кроется в компоненте операционной системы, который позволяет другим компьютерам обращаться к системе Windows с запросами на исполнение действий или сервисов. Этот компонент, называемый процессом вызова удаленных процедур (remote procedure call, RPC), отвечает за такие задачи, как разделение файлов и предоставление доступа к общему принтеру.
====
Не удивительно RPC - cамый уязьвимый , что в Винде , что в Unix и народ там постоянно выгребает.
 

R2D2
17 Jul 2003 4:23 PM
Совсем недавно патчил аналогичное в FreeBSD...
Интересно почему там не было истерики?
 

Anti-MS
17 Jul 2003 5:35 PM
2добрый

Шутишь? ;)
Винда безопасная это когда в сейфе и без сети!
 

Dr_Zuzumbo
17 Jul 2003 5:48 PM
А сколько это дерьмо можно латать??? :)
 

R2D2
17 Jul 2003 6:15 PM
2Dr_Zuzumbo
дык зачем же ты пользуешся дерьмом?
 

Chkaloff
17 Jul 2003 6:22 PM
2 R2D2:
Потому что по любой дырке в Windows начинается истерия. Такие как Anti-MS тутже подминают голову и говорят, что блин, мы же говорили блин, а нас не слушали. Когда же исправляют что-то в Linux, или других OS, то то вяглядит, как естественный процес.

Кто нибудь в курсе, вообще, эту дырку сам MS нашел? Или есть инфа с боку? Или эксплойт есть?
 

Anti-MS
17 Jul 2003 6:43 PM
2Chkaloff

Написано же вроде хацкеры нашли.

Потому что у винде как не дырка так хоть стой хоть падай. Сразу уязывимы все продукты, во всех конфигурациях и во всех версиях. (Версии меняются а код остается?)
 

лсд
17 Jul 2003 7:39 PM
ХАЧУ ЭКСПЛОЙТ
 

__
17 Jul 2003 8:06 PM
лсд - да нагибайся!
 

-
17 Jul 2003 8:14 PM
2Anti-Ms:

Идем, например, сюда: http://www.suse.com/us/private/download/updates/82_i386.html

Смотрим на количество красного цвета и удивляемся...
 

Anti-MS
17 Jul 2003 9:01 PM
2-

Зачем мне ходить на какую-то suse.com? Я никакой сусей не пользуюсь.

И удивляться мне тоже нечего. За последние несколько месяцев у меня на сервере из remote дырок, я заапдейтил только php, и то там была всего-то sross site scripting который в общем то ничему и не угрожал.

А тут действительно сейчас выйдет эксплоит и поимется не одна тысяча виндовых серверов.
 

Alexander S.
17 Jul 2003 11:26 PM
2 Anti-MS:
>Зачем мне ходить на какую-то suse.com? Я никакой сусей не пользуюсь.

А чем вы, извините, пользуетесь?
 

__
18 Jul 2003 12:30 AM
Да, собсно? если не сусей, тогда каким таким выхухолем ?
 

Anti-MS
18 Jul 2003 12:41 AM
Debian
 

Anti-MS
18 Jul 2003 12:44 AM
Если будете приводить в каких пакетах в дебиане были уязвимости, то сразу говорю, что это будет не в тему, 98% из всего этого у меня сроду не стояло, кроме php.

А вот эта RPC стоит в каждой винде увы.
 

R2D2
18 Jul 2003 12:58 AM
2Anti-MS
Наверное не открою секрета если скажу что что Дебиан, что Сузе не говорю уж о красной кепке и мандраке - суть есть одно и тоже.
(с точностью +- ядро и его вариант компиляции). Т.е и болячки те же самые... ОС без ошибок не бывает, к сожалению.
 

rumba
18 Jul 2003 2:05 AM
R2D2 просто охренел :)
"что Дебиан, что Сузе не говорю уж о красной кепке и мандраке - суть есть одно и тоже"- я плакаль (с)
нам татарам лишь-бы даром :)
народ просто несет бред о том в чем не не понимет ВООБЩЕ НИЧЕГО :)
но это прикольно :)
 

Илья
18 Jul 2003 8:47 AM
> по любой дырке в Windows начинается истерия.

Некрософт сам в этом виноват. Нефиг ему было организовывать всемирную истерию перед выпуском ХР. Они ж пол-миллиарда потратили на то, чтобы убедить лохов, что их система - "самая защищенная"! Кидалы позорные.
 

Илья
18 Jul 2003 8:52 AM
>я не понял, W2k3 она тоже того?

Господа, вы знаете хоть одну версию вымени, которая не была бы объявлена "самой надежной и безопасной"? Может, присутствующим здесь виндузятам пора в суд подать на своих благодетелей (за обман покупателей)? Если, конечно, вы действительно _покупаете_ этот мусор на свои кровные.
 

Dr_Zuzumbo
18 Jul 2003 10:01 AM
2D2:
На работе вынужден этим дерьмом пользоватъся (работотадель так решил),
А дома под дулом калашникова не прикоснусь, есть системы которые не воняют!!!
 

Yuri Abele
18 Jul 2003 10:50 AM
Всем анти-Микросовтовским павлинам, на радостях распушившим хвосты:

1. Задумайтесь о том, что Chkaloff написал

2. В статье упомянут инструмент поиска дыр в исходниках Windows. Он действительно есть и он работает - вы посмотрите какой процент дыр найден самим Microsoft - гораздо больше половины. И этот неучтенный тип разновидности переполнения буфера теперь будет учтенным и автоматически обнаруэиваемым на этапе разработки

3. подавляющее большинство дыр найденных за последние пару лет в Windows это дыры давно разработанных подсистем. В новых продуктах дыр практически нет. Во всяком случае не уровня Critical.

О чем это говорит? Говорит, о том, что
- Windows и сейчас очень стабильный продукт
- однажды Microsoft вычистит всех старых клопов, которых и так становится все меньше и меньше и тогда процент 132/26 станет еще и еще больше.
 

glassy
18 Jul 2003 10:50 AM
Хакеры сглупили...
Я бы на их месте милосердного червя выпустил, хальтящего виндозные тачки с одной большой просьбой на весь монитор поставить что-нибудь другое... Можно было бы, конечно, вопрос вставить "система уязвима, продолжать работу? да НЕТ", варианты...
 

glassy
18 Jul 2003 10:52 AM
2Abele: у юниксов тоже такой инструмент есть, грепом завется
 

Yuri Abele
18 Jul 2003 11:06 AM
To Glassy:
1. Я и не утверждал обратного ;-)
2. Но только не grep, я знаю что это такое. И, кстати, он не только под UNIX есть. И как он, по твоему, будет искать некоректные алгоритмы, а не просто соответсвия статичным щаблонам. Достаточно просто заводить переменным замороченные имена и намудрить с форматированием исходников, чтобы уже никакой grep ничего не нашел.
Ближайшая аналогия такому инструменту это инструменты борьбы с полиморфными вирусами
 

glassy
18 Jul 2003 11:26 AM
Прально, понапридумывали разного рода #define interface struct тут только с антиполиморфными инструментами любовью заниматься
 

Yuri Abele
18 Jul 2003 11:53 AM
Хотя в этом тоже ничего особо нового нет.
Оптимизаторы серверов баз данных, компиляторы в байт код и т.п. - все они давно найчились приводить разношерстный код к унифицированному виду.
Но это так, мои фантазии :-)
 

Anti-MS
18 Jul 2003 12:28 PM
2Chkaloff

"Так где хакерское описание дыры и где эксплойт?"

Я то откуда знаю? Я с хакерами не дружу, спроси у автора статьи.

"Знаешь, родной, 132 уязвимости в дистрибутиве Debian с начала 2003 года впечатляют, по сравниению с 26 уязвимостями _всех_ продуктов MS за тотже период."

Сравнение некоректное, сравнили опять общую температуру по больнице. Если бы сравнивали с позиции "вот я админую тачку с виндой и с линухом, и приходится мне патчится там так а тут сяк" то было бы дело. А пойти на один сайт найти какие-то цифты и пойти на другой, сравнивая ж... с пальцем, никого не убеждает.

1) MS сократила кол-во патчей искуственно. 80% того что в дебиане считается уязвимостью типо unsecure tmp file, или local buffer overflow, в винде за дырку вообще не считается!

2) Дебиан самый "толстый" дистр, там практически все что пишется в GPL. Поэтому практически это список уязвимостей по всему GPLному опен-сорсу. И на практике всех этих пакетов ни у кого не стоит. 95% сообщений рассылки Debian о дырах я пропускаю, потому что ничего этого у меня не стоит. А если в винде дыра, так дыра, уязвимы все.

3) В линуксах нет политики замалчивания дыр, а в МС она есть.

2Yuri Abele

1) см. выше
2) Как же как же. Что вы не то говорите. Если он есть и работает на этапе разработки, то почему же дыры находят уже потом? ;)
3) А это вообще блажен кто верует. Логики тут никакой, сплошная вера.
 

Yuri Abele
18 Jul 2003 12:47 PM
To Anti-MS:
3. Ню ню ;-)
2.
>> Как же как же. Что вы не то говорите.
>> Если он есть и работает на этапе разработки,
>> то почему же дыры находят уже потом? ;)
В своей агрессии ВЫ сыдарь даже не видите того что написано.
Этот инстумент не так давно существует - пару лет, не более.
И для новых компонентов и продуктов он активно применяется. К тому же очень многие новые продукты в принципе на бехопасной платформе разрабатываются - на .NET. Почти все новые версии серверов приложений от Microsoft разрабатываются на .NET. Даже Visual Studio Tools для Office 2003 и те на .NET. И в них, в новых, уже очень и очень мало что находят. (это к пункту 3)
А вот старые компоненты, вроде того же RPC разработаны давно. А некоторые еще из MATH корней тянутся.
 

Yuri Abele
18 Jul 2003 12:49 PM
виноват:
сЫдарь читать как сУдарь
 

Chkaloff
18 Jul 2003 12:58 PM
2 Anti-MS:
О, замечательно. Ты сказался.
Пункты 1 и 3 у тебя безапеляционными получились.
Так что, чтобы твои слова на считались пустыми, приведи этим пунктамим подтверждения.

>Сравнение некоректное, сравнили опять общую температуру по
>больнице. Если бы сравнивали с позиции "вот я админую тачку с
>виндой и с линухом, и приходится мне патчится там так а тут
>сяк" то было бы дело.
Смотри, если критекуешь, то предлогай. Ты все время безапеляционно высказываешся по поводу нажежности Windows. Я привел тебе цифры. Ты считаешь их не коректными. Ок. Приведи свои данные, причем исходнями данными должны быть _факты_, которые можно оценить колличествено, чтобы утверждать, что одно более защищенное, чем другое.
 

Yuri Abele
18 Jul 2003 1:02 PM
:-)
 

R2D2
18 Jul 2003 1:02 PM
2rumba
(слово "охренел" я опускаю из расмотрения)
Сударь... вы утверждаете таки что Дебиан, Сузе, Красная кепка, Мандрайк (уж просттите лениво на латиницу переключиться) суть есть РАЗНЫЕ операционные системы?
 

glassy
18 Jul 2003 1:06 PM
Мдя... Открыли для себя grep пару лет назад, БГ как обычно вылез на баррикады и стал кричать о новой вехе в истории...
 

Yuri Abele
18 Jul 2003 1:08 PM
Вот когда человеку сказать нечего, он (если умный) то молчит, в противном случае начинает пороть полную чушь.

P.S. Ничего личного ;-)
 

тупорылов - netnet.ru
18 Jul 2003 1:50 PM
Yuri Abele
Страшную тайну я вам приоткрою
РЕГУЛЯРНЫЕ ВЫРАЖЕНИЯ НЕ СИНОНИМ СТАТИЧНОГО ПОИСКА
с их помощью решают уравненичя и доказывают теоремы
так-то вот
(Видимо MS действительно открыла для себя perl + Regexp)
 

-
18 Jul 2003 1:59 PM
о, а разве grep-ом можно найти буфер-оверфлоу? Дайте прочитать про методику :) Или это очередные сказки?
 

glassy
18 Jul 2003 1:59 PM
Что ж ты тогда не замолчал? :)
 

Yuri Abele
18 Jul 2003 2:16 PM
To glassy: чуствуется уровень первого курса института. Так и прётЬ!

To тупорылов:
даже не обращая внимания на Ваш НИК, скажу, что не надо недооценивать противника. Это же полная недолекость считать, что програмисты создавшие всю эту прорву продуктов плохо разбираются в регулярных выражениях. Это было бы смешно, если бы так не "выпирало".

Коллега ниже привел пример задачи, которую ни один grep, PERL или еще какой подобный инструмент не найдет. И таких море.

P.S. А вообще это солидно - перевести русло разговора с первоначальной, стоящей того, темы на потяфкивания из за забора о том, что "MS ... открыла для себя perl + Regexp)
Детский сад!
 

Chkaloff
18 Jul 2003 2:34 PM
2 тупорылов:
Ну как люди любят подставляться-то. Сам удивляюсь.
Ждем от вас регулярного выражения для поиска ошибок переполнения буфера для исходников на языке C.
 

glassy
18 Jul 2003 2:43 PM
2Yuri Abele: да мы поняли уже. То, что они открыли два года назад -- совсем не перл с грепом, перл с грепом даже рядом не стоит с этой их приблудой для сканирования :)
 

Simon
18 Jul 2003 2:46 PM
2Yuri Abele: Да дело-то не в том, что в МСе не знают, что такое регулярные выражения... К сожалению (потому, что нам ПРИХОДИТСЯ пользоваться их продуктами), рулят там бизнесмены, видящие во всём инструмент наживы. И знаниями они пользуются не как книгой типа "Занимательная математика" (т.е. ищуще, в стремлении развить, улучшить), а как справочником по математике (т.е. поскорее решить самым лучшим известным на сегодня способом и забыть). Поэтому многим они и противны. А уход от темы - так очень грустно думать на тему, что, не смотря на годовалые инициативы, объявленное скрупулезное изучение кода, курсы для собственных работников, нам ещё (боюсь) долгие годы придётся с дрожью в руках запускать ВиндоузАпдейт и смотреть, а нет ли ещё какого-то незаметного люка в наш наинадёжнейший танк.
PS А вообще, надоедает самолюбование и оценка чужих знаний по обрывочным фразам. Некоторые таким образом сильно потом сами садятся в лужи. Типа РТО с Галуа.
 

Yuri Abele
18 Jul 2003 2:58 PM
To Simon:
>> а как справочником по математике
>> (т.е. поскорее решить самым лучшим известным на сегодня
>> способом и забыть). Поэтому многим они и противны.
Поясни если не трудно. А то я так и не понял ругаешь ли ты или хвалишь ... и кого?

>> не смотря на ... долгие годы придётся ... [что-то про дыры]
А что, лучше их прятать и не говорить о них?
Или ты думаешь так же, как некоторые из товарищей, что Windows дырявее, чем другие системы?

То, что в ней больше, чем для других систем, стороннего народа ищет дыры (соответственно больше нахедит), так это только ей же
на пользу. От этого она только стабильнее и стабильнее становится.
И повторюсь еще раз - подавляющее большигство находимых дыр в старых, давно написаных, компонентах. В новых их практически не находят. Т.е. Microsoft не плодит новых дыр (во всяком случае очень старается), ну а старые хвосты когда-нибудь подчистят.

Да и сейчас уже очень многие из дыр, касаемо Windows 2003, имеют уровень критичности ниже, чем у систем до нее. Прогресс налицо.
 

om
18 Jul 2003 3:02 PM
В дебиане больше 8700 пакетов за последние полгода в этих нескольких тысячах пакетов обнаружилось 130 уязвимостей, то есть 1.5% от общего числа. У Микрософта я насчитал порядка 300 продуктов. 50 обнаруженных в этом году уязвимостей --- это 16%.
 

Simon
18 Jul 2003 3:09 PM
2Yuri Abele:
"Поясни если не трудно. А то я так и не понял ругаешь ли ты или хвалишь ... и кого?"
Да не хочу я вовсе сказать "вот они уроды, а вот те лучше, срочно все любите их". Ругаю я МС, потому что у них обычно поведение, как у саранчи, побольше поскакать, везде помелькать, о последствиях не думать, об ответственности тоже. Раз уж ты монополист, практически, обрекаешь других пользоваться твоим шедевром, так уж подумай о чужой безопасности, да не кричи, что ты круче тучи, если это не так. А про старые хвосты, так обещали ведь весь код перелопатить, и достаточно давно, а нашли опять другие, так вот и думай, можно ли на этой платформе что-нибудь делать, кроме как играть?
 

Yuri Abele
18 Jul 2003 3:11 PM
To om:
Сам считал?
Можно увидеть список?
Ты абсолютно гарантируешь, что то, что в Дебиане пакет, не есть стандартный подкомпонет в Windows или каком другом, считаемом тобою за единицу продукте.

P.S. Не, ну я понимаю спорить, но как-то посолиднее что ли ...
P.P.S. Про количество сумарное строк кода я вообще умалчиваю, хотя деление этих строк на количество ошибок и было бы IMHO той самой "мерялкой" качества.
 

PTO - ptokgb.ru
18 Jul 2003 3:13 PM
2 Simon: а можно по-подробнее где я сел в лужу? или любой мой вопрос, на который у вас есть ответ есть "посадил РТО в лужу"? я историю математики не изучал - не входит оно в мою компетенцию... или быть может мы сейчас за объективы к фотоаппаратам поговорим - на ЛОРе есть один персонаж, который любой флейм к этому сводит? или вы про то, что я не смог найти прайз-лист 10летней давности с ценами на сантехнику? ну уж извините...
 

Yuri Abele
18 Jul 2003 3:18 PM
Чего-то я сегодня один отдуваюсь :-)

To Simon:
>> у них поведение, как у саранчи, побольше поскакать,
>> везде помелькать, о последствиях не думать,
>> об ответственности тоже.

>> Раз уж ты монополист
Где? Где нет альтернативы?

>> подумай о чужой безопасности, да не кричи,
>> что ты круче тучи, если это не так
Ссылочку на статью, с примером такого повеления

>> можно ли на этой платформе что-нибудь делать,
>> кроме как играть
Почему-то рынок (реальные продажи среверов) так не думает
 

Simon
18 Jul 2003 3:24 PM
2РТО: посмотрим на это так: Вы многим предъявлете серьёзные профессиональные требования, частенько вспоминаете тезис Чёрча, прозрачно намекаете подучиться. Так вот, следовательно, сами будьте добры иметь приличное образование в окрестности наших тем. Судя по возрасту, при обучении нашей профессии Вам должны были нехило математики всякой разной прочитать. А уж если так, то про Абеля с Галуа на алгебре точно должны были рассказать. И не надо там, типа, неинтересно было, мог забыть. Поэтому я и считаю, что про половые пристрастия создателей сендмейла надо читать после жизни замечательных людей, внёсших существенный вклад в твою предметную область.
А про прайС, так некоторые кричали "щас покажу", но обосрались, так что не надо.
 

Chkaloff
18 Jul 2003 3:36 PM
2 om:
Пакеты очень сложно с продуктами сравнить. Давайте так, сколько эти пакеты все в сумме занимают?
 

Simon
18 Jul 2003 3:40 PM
2Yuri Abele:
"Где? Где нет альтернативы?"
ну, не надо ребячества, судебное определение таково, наличие альтернативы не есть противоречие с монополией, дело в пропорциях.
"Ссылочку на статью, с примером такого повеления" какого повеления, какую статью? Разве не пишем везде про супербезопасность? На коробочках пишут про Business Level Security, я даже за Private Level боюсь.
Ну всё, я лишь высказывал свои пожелания и опасения, в сравнительный анализ я вступать не стремлюсь. У меня тут припасена цитатка от Федора с вашего привозу, я её даже сохранил:

"Мне глубоко фиолетово, кто там какие сравнения выполнял. У меня есть мой опыт и опыт моих хороших знакомых и компаний."
 

PTO - ptokgb.ru
18 Jul 2003 3:41 PM
2 Simon: угу, и про Абеля и про Галуа знаю, Алгебру изучал... только вот не изучал "историю математики" - в МГУ такой курс преподают... не знаю кто во сколько лет от чего умер и сколько курсов каких институтов они закончить успели... ну упущеньеце... Так чта _математике_ меня учили и много напихали, особливо на последних курсах, а вот с историей - ну недочет...
Но когда я говорю за Линуса, Гейтса или еще кого (МакКормика к примеру), я если ставить его как идеала/злово гения должен знать его историю, с чего брались первые деньги, как человек себя ведет в тех или иных ситуациях... посему когда я прочел об ориентации Эрика это мне много объяснило в сендмейле... That's explains alot! (c) Сибирский цирюльник... мне по-барабану какого цвета люди, какой ориентации... я не гомофоб, но просто... да ладно

Про прайс я обещал поискать... я поискал, не нашел... но думаю тут и другие голоса утверждали мой тезис о том, что САНовское железо не есть "открытое" и дерут за то же самое в три-дорога?
А то, что я видел прайз со 1200 за флопидиск привод... ну вы либо верите, либо нет... подтвердить сие я не могу, потому как минуло 10 лет с той поры... может быть вы приведете цены на САНовское железо 10летней давности (не железо, а цены) где бы было видно почем стоят там винты или флопари... типа уж если в лужу сажать, так по-уши... давайте, а ?
 

PTO - ptokgb.ru
18 Jul 2003 3:43 PM
2 Simon: я что-то не видел вас в рядах обличителей, когда Оракл вел кампанию "Unbrekable Oracle" и не вижу сегодня, когда в аэропортах весят "Unbrekable Linux от Оракла" плакатики... а можно ли посмотреть на определение что есть "бизнес левел"? там могут быть ошибки или нет? оно как-то от "мишн-критикал" отличается?
 

om
18 Jul 2003 3:51 PM
2Yuri Abele
Полный список пакетов здесь: http://packages.debian.org/stable/allpackages.html
Конечно пакеты могут являтся как важной подкомпонентой системы, так и независимой отдельной программой, однако на
http://www.debian.org/security/2003/, насколько я понимаю,
уязвимости считаются именно по пакетам и для устранения уязвимости мне нужно обновить отдельный пакет, а не всю систему. Поэтому для того, чтобы как-то сравнить количество уязвимостей, пакеты делим на пакеты (для Дебиана), продукты на продукты (для МС). Безусловно, это не очень хороший способ сравнивать, однако мне он кажется чуть честнее, чем просто сравнение количеств уязвимостей.
 

Yuri Abele
18 Jul 2003 3:51 PM
To Simon:
>> "Мне глубоко фиолетово, кто там какие сравнения выполнял.
>> У меня есть мой опыт и опыт моих хороших знакомых и компаний."

Абсолютно тоже самое, только в противоположную сторону.
Все это просто трёп, а конкретных аргументов 0. И даже меньше.
 

Yuri Abele
18 Jul 2003 3:59 PM
To om:
Ну ты же сам себе не веришь-то: "чуть честнее".
Честным является сравнивать строки кода там и тут и соотв. процент в них ошибок.

А по поводу "нужно обновить отдельный пакет, а не всю систему" - ну это же смешно! Что это значит?
Мне не надо ради одной заплатки всю систему переставлять.
Мало того и отдельный продукт/компонент тоже. Достаточно установть малюченькую поправочку, которая чаще всего заменяет один фийлик, а то и какое-то Value в Registry.
И откат обратно в WinXP и Win2003 возможен.
Причем как отдельного исправления, так и просто на такую-то дату.

P.S. Не устану повторяться - прежде чем что-то ругать, надо в этом разбираться. Иначе будешь смешон.
Я вот себе не позволяю ругать что-то "чужое" ;-)
 

Yuri Abele
18 Jul 2003 4:00 PM
"строки кода" читать как "количество строк кода"
 

Chkaloff
18 Jul 2003 4:14 PM
3 om:
Понимаете, число ошибок можно считать из расчета на строки кода. Я попросил привести вас общий объем пакетов, чтобы хотябы косвенно оценить количество строк кода в этом.

>уязвимости считаются именно по пакетам и для устранения
>уязвимости мне нужно обновить отдельный пакет, а не всю систему
Если вы не в курсе, то патчи в Windows заменяют вовсе не всю ситему, а только те dll-ки к которым данная уязвимость имела отношение.
 

Simon
18 Jul 2003 4:17 PM
2РТО: да мне, к счастью, общаться и зависеть от Oracle не приходится, я больше Sybase люблю. Да и не 90% у них, пусть борются, у них есть чем рисковать. И эта, раз уж говорили про мой плохой английский, не надо делать 2 ошибки в предложении из 4 слов...
 

R2D2
18 Jul 2003 4:23 PM
:)
FreeBSD,Windows NT/2000/2003,OpenVMS... это то с чем я сейчас имею дело... ПОЧЕМУ я не испытываю отвращения ни к одной из них (врочем как и всеобемлющего восторга)? что тут не так?
---
Буддизм - религия?
 

om
18 Jul 2003 4:28 PM
2 Chkaloff

Кажется дебиан занимает 7СD в исходниках, но я могу ошибаться. К сожалению, у меня сейчас нет времени, что выяснить кода.

Под обновлением всей системы я имел в виду, конечно же, не переустановку, а то, что в один патч может входить обновление
нескольких подсистем -- скажем несколькоих dll, как Вы мне и подсказываете, то есть в одном патче в могут быть собрыны обнавления для нескольких уязвимостей.
 

Chkaloff
18 Jul 2003 4:44 PM
2 om:
А что в пакете всегда только 1 файл исправляется?
Для винды - 1 дыра - 1 патч. Бывают правда комулятивные патчи, но это скорее исключение.

На счет 7 CD исходников, это там только исходники или исходники + бинарники? Ладно, бог сними 132 уязвимости на 7 СД. У МС очень трудно посчитать сколько исходных кодов всех продуктов. Проще посчитать объем MSDN полной версии. А сколько полный Debian со всеми пакетами в бинарниках?
 

Anti-MS
18 Jul 2003 4:56 PM
Факты вам что винда дырявее?

Да пожалуйста, сколько было эпидемий вирусов, червей, и даже если взять последний SQL червь, который забил все каналы в инетере? Убытков на миллионы долларов. Или нибда? Или кодред? Какие еще факты нужны?

Таких вещей как эпидемии червей в линухе нет. И сайты под линухом не начинают генерить кучу левого трафика когда появляется очередной червь. Несмотря на то что сайтов под апачем в два раза больше чем под IIS.

Вот и все факты. И тут не надо ничего считать, и никаких статистик по уязвимостям приводить. Все на лицо.
 

-
18 Jul 2003 5:02 PM
2Anti-Ms:

это констатация не дырявости, а лени админов. В апаче тоже недавно находили серъезные дырки. Эпидемий не наблюдается по причине более серъезного администрирования.

Еще пример из жизни. Контора заказала у нас сайтик. Под линукс, апач и прочие дела. Все сделано. Уплочено. Только вот за суппорт они не заплатили. Ну и ... с ними, так сказать. Через некоторое время пришлось восстанавливать. Залезли через уже давно исправленную дырку. Так что... Это скорее особенности профессионализма, чем платформы
 

Chkaloff
18 Jul 2003 5:12 PM
Зачит нет у вас фактов?
>...Или нибда? Или кодред? Какие еще факты нужны?
Реальные, которые можно измерить в числовом виде. Вот хоть количество взломов сайтов например, и т.д.
 

Anti-MS
18 Jul 2003 6:09 PM
2Chkaloff

Убытки от червей под винду можно измерить не то что в числовом а в долларовом виде, и цифры семизначные, сравнимые с годовым бюджетом России. Если от скл-червя аж инет тормозил, то о кол-ве зараженых машин даже думать не хочется. За пару часов заразилось машин больше чем взломаных сайтов на всех платформах за месяцы.

Вот факт, чиловой http://www.rol.ru/news/it/news/01/08/09_010.htm

2-

Как кодред и нибда могут быть дозательством лени а не дырявости? ;) Червь - практическое доказательство дырки.

"Это скорее особенности профессионализма."

В этом что-то есть. Под линух существует куча комплексных мер которые могут обеспечить работу сайта на годы вперед, без того чтобы его кто-нибудь админил или апдейтил. Дырки переодически бывают, но стандартные меры грамотного администрирования практически нейтрализуют почти все возможные атаки.

А еще это от того что винда так удобна в администрировании.
 

-
18 Jul 2003 6:23 PM
"Как кодред и нибда могут быть дозательством лени а не дырявости? ;) Червь - практическое доказательство дырки"

А что, фиксы отменили уже? Anti-ms, не уподобляйтесь ROOTу и avl2 на лоре. Они там в топике про японцев здорово облажались :) Или есть желание повторить? :)
 

Trex
18 Jul 2003 9:11 PM
Anti-MS: к коде реду был уже более полугода готовый патч, одна беда - никто его не приложил.
 

Anti-MS
19 Jul 2003 2:50 AM
Да какая разница, приложили, не приложили, почему не приложили, когда вышла, кто и как админил.

Если не приложили значит были причины, спровацированые самим МС.
Тем не менее постоянно имеем эпидемии. Отсюда только один вывод - выкинуть винду.
 

Anti-MS
19 Jul 2003 2:55 AM
И вообще читайте новую статью. Правильно пишут, что ставь не ставь патчи от МС - это как рулетка, никогда не знаешь когда поможет а когда наоборот.
 

-
19 Jul 2003 1:01 PM
"Да какая разница, приложили, не приложили"

Это сильно. Так давайте и к линуксу патчи не будем прикладывать. Какая разница, ставь не ставь. Все равно не знаешь, поможет или нет...

Вообщем, очередная фигня во флейме.
 

Anti-MS
19 Jul 2003 4:10 PM
Почему в линуксе всегда знаешь что поможет, поэтому такой ситуации и нет что никто патчи не ставит. А с виндой такая ситуация есть!

Надо смотреть глобально, есть такая проблема что миллиарды убытков от червей на винде? Есть! А от чего она происходит это уже кому интересно пусть разбирается. А между тем проблема есть и она не решается.

http://zdnet.ru/?ID=303932
Уже читали?
 

Alexander S.
19 Jul 2003 4:34 PM
2 Anti-MS: Да вы, батенька, романтик! К тому же сильно оторванный от реалий жизни.

Вот вам реальная история случившаяся в нашей фирме. Какое-то время назад, если помните, был найден очередной эксплоит в Sendmail, сильно критический. Наш админ, разумеется, скачал патч. Каково же было его удивление, когда патч не захотел ставиться на один из Линуксов. Точнее, вроде как ставился- но после этого Sendmail отказывался работать.

Проблема была решена просто: комп отключили и держали выключенным пока админ не пропатчил всё остальное, и пока не нашел время вернуться к проблеме. У админа-то есть и другие обязанности, не только Линукс патчить.
То есть- дня три-четыре прошло. После чего имевшийся Линукс был снесен, и поставлена распоследняя версия дистрибутива Линукса. На ней sendmail заработал.

А вы говорите- знаешь что поможет. А будь наша фирмешка помельче и почтовый комп только один, полдня бы ушло, не меньше, без почты сидеть.

>Надо смотреть глобально, есть такая проблема что миллиарды убытков от червей на винде? Есть!

Давайте смотреть глобально: первый успешный червь был написан под UNIX.
Так что проблема червей есть в UNIX, и она не решается. Ваши предложения?
 

Anti-MS
19 Jul 2003 5:16 PM
2Alexander S.

"Давайте смотреть глобально: первый успешный червь был написан под UNIX.
Так что проблема червей есть в UNIX, и она не решается. Ваши предложения?"

Первый червь был написан. Ну и что? Это была академическая разработка, вообще не вредоносная. Никто ничего на этом не потерял. И проблемы тут НЕТ. Черви под юникс по сети не гуляют, убытков не наносят, где же проблему видете?

"Каково же было его удивление, когда патч не захотел ставиться на один из Линуксов."

Действительно несчастный случай ;)

Вообще то патчи бывают или для сорса, или пакеты заменяются целиком. Заметинь пакет занимает 30 секунд и между прочим вообще без перебоев в приеме почты! И все делается автоматом.
Такуя ситуацию как написаная просто даже представить сложно. Отключение компа и все такое... брррр... на 3-4 дня... а нельзя было сендмейл просто выключить? Потом переустановка...

Короче ваш админ похоже вообще смутно представляет как с линухом обращаться. Может он винду раньше учил, поэтому все решает переустановкой? Выгнать его надо! И нанять такого который знает что делать надо.
 

Alexander S.
19 Jul 2003 6:07 PM
2 Anti-MS: не только первый червь был написан под UNIX, но и до сих пор черви под UNIX/Linux появляются.

>Это была академическая разработка, вообще не вредоносная. Никто ничего на этом не потерял.

Даже по тогдашнему законодательству можно было поиметь червеписателя за то время, что админы потратили на очистку сетей. А стоимость админов и тогда, и сейчас высока.

Ну а по современному законодательству можно огрести еще больше, со сроком.

Насчет не вредоносная: такая же не вредоносная как эксплоит киски: никакого никому вреда нет, только Интернет не работает.:)

>Черви под юникс по сети не гуляют, убытков не наносят, где же проблему видете?

Черви под Линукс по сети гуляют. Убытки наносят. Мало их пока, и убытков немного- но это пока. Я так стар, что помню когда вирусов для DOS было меньше 100. Сейчас их под 60 тысяч, DOS+Windows.
Я полагаю, что еще доживу до того времени когда смогу сказать: "я так стар, что помню когда червей под Линукс было меньше 100 а сейчас их 60000".
Разве что Линукс не будет успешен на десктопе.

>Такуя ситуацию как написаная просто даже представить сложно.

Да, действительно, классический случай несовместимости версий. В Микрософте он называется DLL hell, а в Линуксе есть для него свое название- вы не скажете, какое?

>Отключение компа и все такое... брррр... на 3-4 дня... а нельзя было сендмейл просто выключить?

Этот комп только для Sendmail служит. Выключить его полностью означало минимизировать риск. И только.

>Заметинь пакет занимает 30 секунд и между прочим вообще без перебоев... И все делается автоматом.

Вот и Микрософт так говорит.:) Да что-то никто ему не верит, и указывают на случаи когда с перебоями.:)

>Короче ваш админ похоже вообще смутно представляет как с линухом обращаться.

Наверное. Он чисто Юниксовский админ, Окна сильно не любит, постоянно подбивает нас перейти на IBM mainframe чтобы всё на виртуальных Линуксах гонять. Вчера вот читал нам лекцию о преимуществах ядра 2.6 к ядру 2.4. Гоняет тестовые компьютеры с ядром 2.6 уже месяц, не меньше (ну или там 2.5, если придираться к словам). Ну что же, раз такой человек в Линуксе малокомпетентен...

Кстати, а как вы посоветуете поступать с dependency hell админу, у которого нет времени бродить по Интернету выискивая разные версии библиотек и нет времени с ними играться: поможет- не поможет, что еще не так будет?

>И нанять такого который знает что делать надо.

Очень хорошо. Мы его выгнали- наняли вас. Вы ставите патч на Sendmail и влетаете в dependency hell: Sendmail не работает. Ваши действия?
 

Anti-MS
19 Jul 2003 6:37 PM
2Alexander S.

"Я полагаю, что еще доживу до того времени когда смогу сказать: "я так стар, что помню когда червей под Линукс было меньше 100 а сейчас их 60000"."

Не доживете ;)

"Да, действительно, классический случай несовместимости версий. В Микрософте он называется DLL hell, а в Линуксе есть для него свое название- вы не скажете, какое?"

1) Ламерство называется.
2) Такой штуки в линуксе нет.
3) Если все равно есть, то смотри пункт 1.

"Наверное. Он чисто Юниксовский админ, Окна сильно не любит, постоянно подбивает нас перейти на IBM mainframe чтобы всё на виртуальных Линуксах гонять. Вчера вот читал нам лекцию о преимуществах ядра 2.6 к ядру 2.4. Гоняет тестовые компьютеры с ядром 2.6 уже месяц, не меньше (ну или там 2.5, если придираться к словам). Ну что же, раз такой человек в Линуксе малокомпетентен..."

Надо же ;) все делает, кроме того что нужно, сендмейл как следует админить ;)

"Очень хорошо. Мы его выгнали- наняли вас. Вы ставите патч на Sendmail и влетаете в dependency hell: Sendmail не работает. Ваши действия?"

Да такой ситуации не бывает. И проблем с dependency не бывает. Это не винда. В линуксе dependency в отличии от винды, сделаны как раз для того чтобы все работало. И конфликтов никаких в пределах дистра не бывает, как раз для этого дистры и делают. Я бы в такую ситуацию просто не попал бы.
Каждый дистр выпускает апдейт пакета, и ничего не надо нигде в интернете искать, есть системы апдейтов (типо как в винде, только лучше ;). И этот новый пакет зависит от тех же самых либ, и в стабильных дистрах есть политика новых весий либ не ставить, и все эти либы находятся там же где и апдейт.

Единственный вариант, что этот сендмейл ставили через ж.. несколько лет назад, с тех пор никто туда даже не логинился, и дистр там не тот который любит админ, тогда действительно легче снести.
Но в таком случае возникает вопрос почему он раньше не разобрался с этим сендмейлом?

А на нормальной машине, которую он админит, а тем более если он ее и ставил, такой ситуации возникнуть не должно было впринципе.
 

-
19 Jul 2003 8:54 PM
2Anti-MS

на все ответы есть :). Сколько вам лет, юноша?

Дистрибутивы, говорите... Дебиан с его apt-get dist update (или апгрейд) - уже притча во языцах (по крайней мере в нашей конторе). После него человек стабильно тратит несколько часов на откачивание системы. Типа удаление старых конфигов и прочее. Windows Update и сервиспаки куда уж безопастней. Там откатываться - раз плюнуть. Как например, сейчас с вын2000. У некоторых не идет SP4. После деинсталляции получаешься все как и было до. apt-get dist update откатить так можно?
 

Ron
20 Jul 2003 12:38 AM
> "Windows Update и сервиспаки куда уж безопастней. Там откатываться - раз плюнуть."

Особенно раз плюнуть откатывается что-нибудь типа MDAC, который однажды пришлось сносить вместе с системой. Счастье, что это был девелоперский бокс, а не боевой сервер.
 

none
20 Jul 2003 1:01 AM
2-: за В2К не скажу - эксперименты не ставил, а вот НТ4 подарочком награждала. После установки СП6 который убил программу - откатился обратно, что бы Вы думали - программа не заработала.
Проблема решилась просто - убил ДЛЛ и поставил прежнюю,кот. СП6 переставил а возвратить не посчитал нужным (после деинсталяции)
Не надо лозунгов - ошибки есть везде (банально, но факт:)
 

Anti-MS
20 Jul 2003 2:54 AM
2-

"Сколько вам лет, юноша?"

Я стар, я очень стар, я суперстар ;)

"После него человек стабильно тратит несколько часов на откачивание системы. Типа удаление старых конфигов и прочее."

Это у него что-то от недопонимая. Я уже не говорю ламерства, а то вдруг опять какой уважаемый ученый муж не справляется с apt-get'ом, а я сразу ярлыки клею.
Но вот интересно зачем он это делает??? deb следит за ВСЕМИ файлами и тем более за всеми конфигами... В общем мне трудно предположить зачем он тратит. При апдейте пакета конфиг либо остается без изменений, либо ВМЕСТО него пишется новый, поэтому конфиг всегда один и никаких старых которые нужно удолять не бывает...

Это касалось update. А вот upgrade это штука другая это апгрейд всего дистрибутива до новой стабильно версии. Меняются все пакеты, я это делал удаленно когда вышел новый дебиан, копаться пришлось только в паре конфигов, потому что я их менял вручную и дефолтовые меня не устраивали, а старые не подходили. Минут за 20 я это решил. Делал я это наверно больше года назад, и еще раз это делать придется наверно не в этом году. Что же ваш админ постоянно и усердно апдейтит???

Если сравнивать это с переходом например с НТ на 2000, то это вообще никакого сравнения нет. Я сделал именно апгрейд той же машине, практически на ходу (если не менять ядро то вообще без перегрузки), а с нт на 2000 или с 2000 на 2003 вообще не переходят а инсталят заново. А как апдейтится винда и как откатывается вам уже другие рассказали ;)

А как downgrade'ить пакеты в дебиане я вам расскажу. Причем я вам сразу ответственно скажу, что если вы думаете что вам нужно сделать downgrade, то все шансы, что вы просто что-то делаете не так, или хотите сделать что-то не правильное. Потому что это не винда тут нет ситуаций, что какой-то апдейт "не подешел".
Но все таки, если нужно даунгредить пакет x.deb, заходите по фтп на ваше зеркало пакетов, выбираете там предудыщею версию, качаете ее к себе и делаете dpkg -i x.deb, и он ставит предыдущею версию. Все просто.

В общем у вас всегда примеры "А вот у нас в конторе админ Вася (причем всегда чужой дядя, поэтому спорить приходится односторенне), когда влючает линух всегда в бубен бьет. И кучу времени на это тратит. Это почему так?"

А вообще еще иногда админы быстро не работают ;) Показывают кто в конторе самый важный, мол без них ничего работает. Иногда я и сам делаю какие-то вещи неделями, хотя делов там на 15 минут.
 

eXOR
20 Jul 2003 6:28 AM
2 Anti-MS:
>При апдейте пакета конфиг либо остается без изменений, либо ВМЕСТО
> него пишется новый, поэтому конфиг всегда один и никаких старых
>которые нужно удолять не бывает...
Ужас. Вот у меня сейчас под рукой боксик с 600 виртуальными хостами... и что вместо их настроек у меня будет новый конфиг из пакета?

>потому что я их менял вручную и дефолтовые меня не устраивали, а
> старые не подходили.
понятно. А когда у меня 80% настроено вручную, для перформанса, для спец нужд итд итп... что делать прикажешь?

 

VicTor
20 Jul 2003 10:34 AM
2eXOR: а соломкм подстелить заранее, т.е. бекапить старое перед любым наложением нового Вас не учили?
 

Anti-MS
20 Jul 2003 1:52 PM
2eXOR

1) При апдейте обычно ставится одна и та же версия пакета проста запатченая, поэтому конфиги не меняются. Не всегда но в подавляющем большинстве случаев.
2) Действительно вы про бекап слыхали? Я если конфиг меняю, то бекаплю оригинальный, и бекаплю измененый.

"А когда у меня 80% настроено вручную, для перформанса, для спец нужд итд итп... что делать прикажешь?"

Я речь вел про апгрейд системы на новую. B вообще что же у вас там такое настроено на 80%? Даже предположить сложно!
А при апдейте меняется один пакет раз обычно не чаще чем раз в месяц, и то такой у которого и конфига то нет типо unzip.
 

eXOR
20 Jul 2003 8:29 PM
2 VicTor && Anti-MS:
Не ребят... конечно не слышал. Куда мне... пойду с горя утоплюсь.

PS: Вы хоть прочитайте то, на что я писал комментарий... некто Anti-MS утверждал что пакеты избавляют от необходимости делать бэкапы...
 

Anti-MS
20 Jul 2003 9:10 PM
2eXOR

Я такого точно не писал, и слова даже такого не упоминал.
Это вам батенька уже мерещится разное.
 

VicTor
20 Jul 2003 10:28 PM
2eXOR: да, бросьте Вы, лишний бэкап еще никому не помешал. Как, впрочем, и лишний оргазм :))
 

-
21 Jul 2003 12:51 AM
2Anti-MS

Чему я должен верить больше - собвственным глазам или каким-то мифическим 20 минутам какого-то? Человек решил просто поставить новую мозиллу. Ну и понеслись зависимости...

Причем это не единственный случай. Еще 2 человека используют дебиан и именно после update (или upgrade, мне все равно) системы впадали в кому. Системы разработчика, а не, извиняюсь, кернел+сендмаил. Там и х-ы, и кде, и проч.

Теперь по поводу доунгрэйда. Оракле и glibc. Что, к чему - выясняйте сами. И еще. Сколько мне потребуется сделать доунгрэйд тех же glibc?
 

prodigy_ - prodigy_mail.ru
21 Jul 2003 1:17 AM
А я не ставил апдейт! Ну и че мне эти хацкеры сделают, а?! Че они сделают?!! Эксплойт? Да у них все равно руки кривые и нету никакого эксплойта!!! И лучшее доказательство тому что я сейчас пишу эту...

Постойте, что это?

О НЕТ! ЭТО ЖЕ НАДПИСЬ "Format C: Compl

---
Jigsaw 2.2.1/Windows 2000 Server: Transfer interrupted unexpectedly!
 

Anti-MS
21 Jul 2003 2:26 AM
2-

Все это от рук. И не просто, от рук, а от того что просто напросто не умеют пользоваться дистром. Пусть зайдут на сайт дебиана и прочтут что такое дистрибутив, что такое пакеты deb, что такое dpkg, что такое apt-get. Для чего существуют зависимости и для чего пакеты собираются в дистрибутив. И тогда может быть поймут, что работать с линуксом надо пытаться не вопреки всем зависимостям, а пользуясь ими!

"Что, к чему - выясняйте сами."
Оно мне надо? Может мне еще и поадминить кого-то? ;)

"Сколько мне потребуется сделать доунгрэйд тех же glibc?"
Сколько что?? Так же как и любой пакет dpkg -i xxx.deb без всяких проблем.
Только кому в здравом уме надо что-то даунгредить??? glibcы не даунгрейдят , просто ставят еще одну версию старую если какое-то проприентарное г..но слинковано к старой версии. И имеют прекрасно несколько разных версий glibc!
 

Alex - allex-77mail.ru
21 Jul 2003 6:26 AM
Я в экстазе...
"Индивидуальным пользователям необходимо применять Internet Connection Firewall или какой-либо иной персональный брандмауэр». Internet Connection Firewall присутствует в Windows XP и Windows 2003 и служит для ограничения способов проникновения в систему из сети."
Вот почитайте :) "Чистосердечное признание Microsoft не стала дожидаться, пока факт откроет какая-нибудь индийская security-компания и
честно призналась (http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q30 6203): да, встроенный в последние версии ОС
Windows сетевой экран не фильтрует и вообще никак не блокирует трафик через IPv6, последнюю версию интернет-протокола.
Если у вас установлена одна из следующих операционных систем от MS:

Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Web Edition
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows XP 64-Bit Edition Version 2002
Microsoft Windows XP 64-Bit Edition Version 2002 SP1
Microsoft Windows XP Home Edition
Microsoft Windows XP Home Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Professional
Microsoft Windows XP Professional SP1
Microsoft Windows XP Tablet PC Edition

то вам ненавязчиво рекомендуется озаботиться поисками сетевого экрана, который умеет перехватывать IPv6 трафик.
Заметим, что сетевой экран, который умеет фильтровать вышеназванный трафик, уж наверняка умеет фильтровать и данные,
приходящие посредством более ранних версий интернет-протокола, что ставит под сомнение сам смысл существования встроенного в
Windows сетевого экрана."
Типа пользуйтесь экраном встроенным, но он все равно не работает!!!
 

glassy
21 Jul 2003 9:17 AM
Знаю, что плохо, но я на ночь поставил /sbin/badblocks -f на работающую партицию. Была гроза, свет прыгнул, и кое-что в /usr/lib не работало. Не работал libbz2, и rpm запустить не получалось. Что я сделал? На 4-хгиговый винт поставил свой дистр, сделал md5sums /usr/lib/*.so > /tmp/1 ; md5sums /mnt/hdc1/usr/lib/*.so > /tmp/2 ; diff /tmp/1 /tmp/2 > /tmp/3. 20 поврежденных либ скопировал вручную... Есть ли в виндовсе md5sums без понятия
 

СтранниК
21 Jul 2003 11:17 AM
2Alexander S.
"Очень хорошо. Мы его выгнали- наняли вас. Вы ставите патч на Sendmail и влетаете в dependency hell: Sendmail не работает. Ваши действия?"

Вы для начала бы сказали на каком дистрибутиве все это было.
Но несколько советов:
1. пользуйтесь одним дистрибутивом например RH(это только для примера). и неставьте sendmail с других дистрибутивов. Работать оно будет , но возможны нюансы.
2. Собственно патчи.
Скачать патч и набрать rpm -Fvh sendmailxxxx.rpm
Много времени надо?
Первый раз слышу чтобы патч не ставился.
Ну да ладно всякое бывает.
Если не ставится и именно из-за dependencies, то обычно можно сделать так:
Качается тот же самый патч но SRPM файл.
После чего компилится на вашей же системе с вашими же библиотеками.
и снова rpm -Fvh sendmailxxxx.rpm ( того что скомпилилось ).
Все!!!!
А то, что ваш админ безрукий, ну кто ж вам доктор.

Еще хочу добавить про потерянные конфиги.
Аж смешно.
Рассказываю выполнение rpm -Uvh или rpm -Fvh на приводит удалению конфигов.
В худщем случае происходит замена например sendmail.cf на sendmail.rpmsave.
Надеюсь у вашего админа хватает квалификации запустить diff чтобы получить разницу?
 

СтранниК
21 Jul 2003 11:19 AM
2Alexander S.
Черви под Линукс по сети гуляют. Убытки наносят. Мало их пока, и убытков немного- но это пока. Я так стар, что помню когда вирусов для DOS было меньше 100. Сейчас их под 60 тысяч, DOS+Windows.
===
Имена в студию, я коллекционирую названия червей под Linux?
Тем более раз вы такой древний.
 

Alexander S.
22 Jul 2003 12:53 AM
2 Anti-MS: "Да такой ситуации не бывает. И проблем с dependency не бывает."

А вы случайно в иракском "Министерстве Правды" не подрабатывали?

Вот в MSN search (не кривитесь- просто под рукой было) я набрал строку поиска "Linux dependency hell" и получил 3293 линка.

Надо понимать, в каждом из этих линков говорят: "проблем с dependency в Linux не бывает.":)

2 СтранниК,

вы не знаете ни одного червя под Линукс??? М-да, однако!

Ладно, раз вы такой ленивый, я за вас поработаю: MSN search, "Linux worm", 241939 линка.
Так, и на первой страничке находим:

http://www.f-secure.com/v-descs/cheese.shtml
http://securityresponse.symantec.com/avcenter/venc/data/lin ux.slapper.worm.html
http://www.sans.org/y2k/lion.htm
http://www.channelline.com/daily_article.cfm?daily=DLY03280 1-02

Первых три- чисто Линукс, последний- гибрид.

Смотрите, СтранниК, ваша коллекция имен скоро перерастет в библиотеку.

Честно говоря, в 2003 году странно слышать от людей, что червей и вирусов под Линукс и юниксоподобные клоны не существует принципиально.
Ну а если принципиально червь/вирус можно создать, то их будут создавать, чем популярнее будет операционная система.
 

glassy
22 Jul 2003 7:33 AM
хм... ну 3293 -- это немного. Ламеров на самом деле намного больше. Даже если проблема не решается ключом --nodeps, есть еще как минимум 3 пути стабильного решения.
 

СтранниК
22 Jul 2003 10:26 AM
2Alexander S.
Смотрите, СтранниК, ваша коллекция имен скоро перерастет в библиотеку.
Честно говоря, в 2003 году странно слышать от людей, что червей и вирусов под Линукс и юниксоподобные клоны не существует принципиально.
Ну а если принципиально червь/вирус можно создать, то их будут создавать, чем популярнее будет операционная система.
===
Я и не говорил что их нельзя принципиально создать.
Все системы подвержены вирусам, только одни в большей степени, другие в меньшей.
Вот только про вред от linux.slapper.worm ничего не слышно, а вот если SLAMER , так даже нас косвенно задело, хотя у нас не используется MSSQL. Вредоносность того или инного вируса определяется ущербом, который он нанес , не так ли?

Про sendmail вопрос я так понял улажен?
 

glassy
22 Jul 2003 3:24 PM
Ну надо же, в мелкософте маркетинг плохой :) Вообще-то, у людей просто совесть наконец проснулась. Разве можно успешно продвигать продукт, если каждый час ждешь сообщения о новой уязвимости... Согласно РТО, одно от другого зависеть не должно :) Не спорю, иис 6-й ставить легче :) Но это _далеко не повод_ его ставить. Скорость и безопасность -- важно, но второй пункт как бы под вопросом :)
 

Petr Chulkov - petrchulkov.net
22 Jul 2003 3:38 PM
2glassy :
> Разве можно успешно продвигать продукт,
> если каждый час ждешь сообщения о новой уязвимости
это Вы о sendmail-е ??? уже сколько лет прошло с его выпуска, сколько народу имеют доступ к его исходникам и до сих пор находят в нём ошибки...

> иис 6-й ставить легче
??? а можно подробнее .. в W2K он сразу ставился (если его руками не удалять) и запускался.... а в w2k3 iis6 надо ставить руками... ГДЕ и ЧТО стало проще ???
 

glassy
23 Jul 2003 7:26 AM
2Chulkov: я про апач. Там, чтобы $HOME/*/public_html заработал, надо конфиг в двух местах править.
 

 

← июнь 2003 11  14  15  16  17  18  21  22  23 август 2003 →
Реклама!
 

 

Место для Вашей рекламы!