Все новости от 3 февраля 2005 г. Разработчики Linux создают специальный форум для сообщений об уязвимостях
Разработчики ядра Linux организуют список почтовой рассылки для обмена информацией о секьюрити-багах, обнаруженных в ядре операционной системы с открытым исходным кодом.
Список, о котором разработчики планируют объявить в ближайшее время, служит ответом на подозрения о том, что некоторые сообщения об уязвимостях теряются в большом количестве писем, направляемых в группу разработки ядра.
«Наша цель — сохранять процесс как можно более открытым, — сказал Крис Райт, разработчик ядра Linux из Open Source Development Labs. — Иногда программисты предпочитают сообщать о секьюрити-багах частным образом, чтобы до обнародования этой информации успеть оценить последствия и подготовить поправку. Список поможет гарантировать это и не даст таким сообщениям затеряться».
Список почтовой рассылки, который станет контактной точкой для сообщений о проблемах безопасности ядра, явился результатом нескольких недель споров по поводу того, насколько доступным он должен быть для широкой публики.
Вопрос обнародования информации о проблемах безопасности вызывает острые споры не только в группе разработки ядра, но и в сообществе программистов в целом. Одни утверждают, что разглашение сведений об ошибках в программах подрывает безопасность интернета, другие настаивают на том, что ошибки обычно бывают вызваны плохой организацией разработки и недостаточным вниманием к вопросам безопасности.
Практика, принятая в индустрии коммерческого ПО, состоит в требовании, чтобы эксперты, обнаружившие ошибки, дожидались, пока софтверная компания выпустит исправление, прежде чем обнародовать детали найденной уязвимости. Однако создатель оригинального ядра Linux Линус Торвальдс отвергает этот подход.
«Лично я предпочитаю максимально возможную открытость; она создает очень комфортные условия, — сказал он в недавнем интервью по e-mail CNET News.com. — Это требует достижения определенного уровня безопасности — и в то же время побуждает стремиться к нему, а те, кого в какой-то момент времени этот требуемый уровень безопасности начинает раздражать, восстают против открытости».
В отличие от производителей коммерческого ПО и даже от секьюрити-списка Vendor-sec, организованного поставщиками Linux, группа разработки ядра, похоже, решила следовать этому подходу открытости.
В проекте заявления по поводу нового списка говорится: «Мы предпочитаем полностью раскрывать информацию о багах как можно оперативнее. Когда проблема или способ ее решения недостаточно понятны, решение как следует не оттестировано или нужно скоординировать действия поставщиков, действительно имеет смысл придерживать эту информацию. Однако мы ожидаем, что такие задержки будут короткими — считанные дни, а не недели или месяцы».
Предыдущие публикации:
В продолжение темы:
|
|
| Коляныч - kolanychmail.ru 3 Feb 2005 1:33 PM |
ну и что помещает мне, крутому хацкеру Василию Коляновичу Пупкину, подписаться на их рассылку и ваять вирусню задолго до выпуска патчей интузазистами? |
|
| Wintermute - devnul.ru 3 Feb 2005 2:14 PM |
2 Коляныч: Ты че, братан, разве не знаешь, что линух принципиально неуязвим для вирусов? |
|
| Коляныч - kolanychmail.ru 3 Feb 2005 2:38 PM |
"а это вне зависимости ..." (с) Бурков |
|
| Skull - sibskullmail.ru 3 Feb 2005 3:00 PM |
2Коляныч: а у тебя хватит квалификации "ваять вирусню"? :) |
|
| Коляныч - kolanychmail.ru 3 Feb 2005 3:13 PM |
а зачем, если сорсы везде валяются ... пару байт исправил, сигнатура изменилась и фсе |
|
| fi 3 Feb 2005 4:19 PM |
Вот, из-за таких "недорослей" как Коляныч, никак не могут настрогать виросов для linux. Это же не винда, подход совсем другой нужен, а то "пару байт исправил," - и и опять не работает. В общем старайся!!!
|
|
| Alexander S. 3 Feb 2005 5:09 PM |
Зато если кого и имеют, так он целый год об этом не знает. The Jabber Software Foundation (JSF) - the open source instant messaging organisation - has advised developers to check their code, after discovering that a hack attack against its website was more serious than first suspected. An audit conducted on JSF's web servers after an intrusion two weeks ago revealed a root kit on a machine hosting both the jabber.org website and the JabberStudio service. Subsequent investigations revealed the machine (hades.jabber.org) had been compromised for more than a year. It's rare, but not unprecedented, for malicious hackers to load backdrops onto the web servers of application developers. Crackers owned the primary file servers of the GNU Project for five months in 2003, the Free Software Foundation. Тезисно в переводе на русский: одних ребят имели год, и они этого не замечали. Имели через уязвимости в Linux и в ПО OpenSource. Других ребят имели 3 месяца, и те этого не замечали. Имели их через уязвимости в Linux и в ПО OpenSource. Поэтому изначальный вопрос Коляныча имеет смысл, если не в отношении вирусов так в отношении хакеров-взломщиков. |
|
| A 3 Feb 2005 7:58 PM |
2 Alexander S.: Всё фигня, кроме пчел :) Была машинка Sparc под какой-то солярой. Её сломал загрн-товарищ и начал активно пользовать. Через некоторое время он начал её поддерживать - настраивать, ставить патчи, следить за безопасностью. Вобщем, она так у ISP стояла лет пять, пока это не заметили пришедшие на замену старым админы :) |
|
| Alexander S. 3 Feb 2005 9:48 PM |
>Через некоторое время он начал её поддерживать - настраивать, ставить патчи, следить за безопасностью. Вобщем, она так у ISP стояла лет пять В оплату за свой тяжкий труд загран-товарищ просил немногого: он архивировал всю почту проходящую через этот сервер, скачивал себе архивы еженощно, и доставлял себе много приятных минут чтением чужой переписки... |
|
| A 4 Feb 2005 7:15 PM |
> В оплату за свой тяжкий труд загран-товарищ просил немногого: Не. Всего навсего использовал эту машину для атак на других :) |
|
| Alexander S. 5 Feb 2005 6:27 PM |
Мелочь, а неприятно.:) |
|
| nekitos - newpochtfmail.ru 17 Jun 2006 4:22 AM |
MegaPars v1.0, большие возможности по низкой цене http://www.umaxforum.com/topic/5/13321/ - описание + сертификат icq 288-683-632. nekit2004@inbox.ru
|
|
| nekitos - newpochtfmail.ru 20 Jun 2006 3:07 AM |
MegaPars v1.2, большие возможности по низкой цене [url=http://www.umaxforum.com/topic/5/13321/]описание + все последнии новости +сертификат модера seo unmax форума под ником физик [/url] функции: парсит: гугл мсн яху рамблер яндекс майл апорт алтависта аолсерч Определяет google PageRank, любые адреса без всяких ошибок Определяет по тексту в урле любые типы ресурсов Высокая функциональност работы с прокси, чекает, в течении парсинга определяет забаненные прокси, или которые перестают работать, и переключается на другие, так же определяет когда банит поисковик проксю, так же переключается на другую. Так же можна парсить без прокси Может удалить часть символав в конце по запросу проверяет чтоб не было дубликатов Есть черный лист по которому можете удалить по домену урлы с котрых идёт абуза Прокси работают в многопоточном режиме Идёт процентная шкала по которой вы можете ориентироваться, так же она доступна в файле(если вы закрыли браузер, то легко увидите как далеко прапарсил парсер) Через неделю будет готова версия 1,3, которая будет бесплатна, тем кто купил более ранние версии Продукт 1,3 меняет название в него будет входить большой сео пакет 1 Добавлен отборщик функциональный баз там пиар, 404, удалить http:// или добавить, и много чего ещё 2 Парсер гестов который будет находить ссылки на поля ввода данных, проверять на существование страниц, притом этот парсер будет многопоточный 3 Файловый мененджер, в котором по паролю и имени можно будет входить смотреть и скачивать базы, так же можно будет запаковать их, удалить 4 Прокси грабер многопоточный 5 Прокси чекер многопоточный 6 Будет к тому парсеру, который в версии 1,2 добавлена многопоточност цена версии 1,3 будет 60$, тем кто приобретёт версию 1,2 за 30$ [b]обновление бесплатно[/b] вот фото [img]http://nekit.info/Megapars.jpg[/img] Тестировал пока сам, дам vector'у потестить, но пока он в офф лайне. цена такого золата 25$, icq: 288-683-632, даю тестить всем желающим на своём хосте вот составил следующий план работы Внимание обновления, купившим парсер пока будет бесплатным, но с каждыми новшествами парсер будет увеличиваться в цене спасибо за внимание + Крулсотучная поддержка :) контакты [b]icq 288-683-632.[/b] [b]nekit2004@inbox.ru[/b]
|
|
|