| 1.1, EuPhobos (ok), 11:44, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Ну вот, работки прибавилось дебианщикам, ожидается огромный мега патч.. Пора тренировать пальцы на "aptitude full-upgrade".
Интересно, а другие дистрибутивы так же просканировать мега-утилитой?
| | |
| |
| 2.12, rshadow (ok), 12:13, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Почти в каждой версии находится сакая толпа. Правда чаще до релиза.
| | |
| |
| 3.44, pavlinux (ok), 15:51, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Я чёй-то не понял!
Из багрепорта на GCC
-- System Information:
Debian Release: jessie/sid
APT prefers unstable
APT policy: (500, 'unstable')
Architecture: i386 (i686)
Kernel: Linux 3.9-1-686-pae (SMP w/1 CPU core)
Locale: LANG=C, LC_CTYPE=C (charmap=ANSI_X3.4-1968)
Shell: /bin/sh linked to /bin/dash
---
В Debian вроде ядро 3.2.xx
| | |
| |
| 4.50, Andrey Mitrofanov (?), 16:05, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Я чёй-то не понял!
> Debian Release: jessie/sid
Вот такой хреновый "Debian Wheezy".
> Kernel: Linux 3.9-1-686-pae (SMP w/1 CPU core)
> В Debian вроде ядро 3.2.xx
Ну, как бы тестируют-то они не ядро. А 3.9[.6] есть в wheezy-backports. Я себе и в squeeze собрал.
| | |
|
|
| 2.83, ононим (?), 19:54, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
пора - это ты оптимист. пора настанет лет через 5. должно настояться, выдержаться и созреть.
| | |
| |
| 3.106, Аноним (-), 13:13, 29/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> пора - это ты оптимист. пора настанет лет через 5. должно настояться,
> выдержаться и созреть.
Сгнить и разложиться - тогда наступит настоящая зрелость. Как мясо для бурого медведя, верно?
| | |
|
|
| |
| 2.5, Аноним (-), 11:46, 28/06/2013 [^] [^^] [^^^] [ответить]
| +21 +/– |
То ли в Омске не принято читать внимательно, то ли принято гадить мегабагрепортами
| | |
| 2.34, John Sullivan (?), 14:53, 28/06/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
другой омич поднимал-поднимал авторитет омичей то стишками то шутками-прибаутками. а ты хочешь всю работу его перечеркнуть?
| | |
|
| 1.3, Аноним (-), 11:45, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хотелось бы проанализировать, может ли какой-либо статический анализатор кода предотвратить появление подобных ошибок. Было бы интересно.
| | |
| |
| 2.21, Аноним (-), 13:29, 28/06/2013 [^] [^^] [^^^] [ответить]
| –7 +/– | |
Думаю, тьебе с радостью продадут этот анализатор после того как, мир на примере данной новости, поймет что таки тесты маст хэв.
ПС: больше пакетов - больше уязвимостей. Дебиан - реш ето =))
| | |
| |
| 3.47, Аноним (-), 16:03, 28/06/2013 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> ПС: больше пакетов - больше уязвимостей. Дебиан - реш ето =))
Блестящая мысль! Предлагаю в следующий раз вместо обновления антивирусных баз выкинуть системник в окно. Это идеальная защита от вирусов.
| | |
| |
| 4.68, Аноним (-), 17:14, 28/06/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
Что блестящая мысль? Лучше 20 тысяч полуработающих программ или 2 тысячи работающих? Там в репозитории зачастую вообще не работающее ПО валяется и исправлять его никто не будет т.к не критическая уязвимость.
"Лучше меньше да лучше"
| | |
| |
| 5.69, Аноним (-), 17:19, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Что блестящая мысль? Лучше 20 тысяч полуработающих программ или 2 тысячи работающих?
> Там в репозитории зачастую вообще не работающее ПО валяется и исправлять
> его никто не будет т.к не критическая уязвимость.
> "Лучше меньше да лучше"
С логикой у Вас плохо, перечитайте два предыдущих поста снова, вдумываясь в построение фраз.
Наводка : вопрос о степени работоспособности программ не поднимается вообще.
| | |
| 5.87, Аноним (-), 21:14, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Что блестящая мысль? Лучше 20 тысяч полуработающих программ или 2 тысячи работающих?
Если продолжить эту логику, в идеальной системе программ должно быть 0. Ну а после этого можно со спокойной совестью выбросить системник: все-равно вы разницы не заметите.
И да, вероятность того что среди 20 000 пакетов найдется нужная программа - явно выше чем то что нужная программа найдется среди 2000. Вот вам и предложили дальнейшее развитие идеи: если наличие программ вас не парит, то и от системника можно избавиться.
| | |
| 5.88, Аноним (-), 21:15, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> "Лучше меньше да лучше"
Ну так я и говорю - в идеальной системе софта нет совсем. При этом - спору нет, багов там не будет. Просто система будет бесполезна чуть более чем полностью. Потому что раз нет софта - значит это просто кусок металла :)
| | |
|
| 4.94, Аноним (-), 22:11, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
Так, ладно. Будем как в первом классе.
Больше пакетов = больше шансов насчитать овер миллион уязвимых прог с помощью автоматического тестирования. В каком дистре пакетов больше всего из коробки? Осознается?
Почему дебиан осознается? Не только потому, что другие автору исследования нафиг не сдались.
| | |
| 4.98, Deluxe (??), 00:44, 29/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> ПС: больше пакетов - больше уязвимостей. Дебиан - реш ето =))
> Блестящая мысль! Предлагаю в следующий раз вместо обновления антивирусных баз выкинуть
> системник в окно. Это идеальная защита от вирусов.
Ээээ... чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?
| | |
| |
| 5.100, arisu (ok), 00:52, 29/06/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Ээээ… чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?
т-с-с. вантузоиды всё равно не поверят, что где-то без их любимых домашних животных существуют.
| | |
| |
| 6.107, Аноним (-), 13:15, 29/06/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> Ээээ… чувак, какие антивирусные базы в Debian GNU/Linux? какие вирусы? ты чё?
> т-с-с. вантузоиды всё равно не поверят, что где-то без их любимых домашних
> животных существуют.
Сперва такую же инсталляционную базу набери, наивный чукотский юноша. Потом будешь попёрдывать в лужицы за уголком. Смекаешь?
| | |
| |
| 7.109, arisu (ok), 15:43, 29/06/2013 [^] [^^] [^^^] [ответить] | +2 +/– | как у троянов гыг ну, имеем миллионы рабочих машин с пингвинусом и 171 юзе... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 1.4, Аноним (-), 11:46, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– | |
Нигде по ссылкам нет информации что это дебиан-специфичная ошибка. Т.е. тут скорее исследователи взяли дистрибутив в котором больше всего пакетов и прогнали по ним свою утилиту.
Почему они решили про это рассказать дебианшикам, а не в разработчикам програм? Видимо чтобы переложить работы по решению и отслеживанию ошибок на мейнтейнеров дебиана. Ведь гораздо проще записать кучу багов в одну систему учёта ошибок, автоматом, чем связываться с автором каждой.
| | |
| |
| 2.6, тигар (ok), 11:58, 28/06/2013 [^] [^^] [^^^] [ответить]
| –9 +/– |
 > Видимо чтобы переложить работы по решению и отслеживанию ошибок на мейнтейнеров дебиана. Ведь гораздо проще записать кучу багов в одну систему учёта ошибок, автоматом, чем связываться с автором каждой.
в этом есть смысл. есть правда одно "но" - у мейнтейнеров Стабильного (тм) дибиана времени вагон и они бэкпортят секьюрити фиксы в древние версии, т.е. им в любом случае придется тянуть патчи к себе, а так и патчи будут и в апстрим (наверное) зашлют.
| | |
| 2.17, Аноним (-), 13:03, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Почему они решили про это рассказать дебианшикам, а не в разработчикам програм?
Потому что они тестировали сборку от разработчиков Debian, а не от разработчиков исходных программ.
| | |
| |
| 3.38, Аноним (-), 15:14, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ошибки вызваны не сборкой, будут присутствовать в любом дистрибутиве.
| | |
| |
| 4.40, pavlinux (ok), 15:31, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
-DFORTIFY_SOURCE -fstack-protector -fstack-protector-all -fbounds-check,...,
-W -Wall -Wextra -Werror, не, не слышал?
| | |
| |
| |
| 6.89, Аноним (-), 21:17, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Много непонятных букв. И попахивает педоркой.
Не, попахивает всего лишь каким-то тyпым анонимом на опеннете. "Молчи - за умного сойдешь".
| | |
|
|
|
|
|
| 1.7, Аноним (-), 12:05, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Я чето не понял как наличие уязвимости в squid связано с разработчиками Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.
Конечно скорее всего тут имеется ввиду что уязвимости есть в деб пакетах тех или иных прог, они (пакеты) собирались мейнтейнирами дебиан. Но тут не уточняется характер проблем.
Если я возьму открытый код squid и соберу пакет деб и пакет рпм, то уязвимость будет в обоих пакетах?
| | |
| |
| 2.18, Аноним (-), 13:11, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я чето не понял как наличие уязвимости в squid связано с разработчиками
> Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.
Потому что разработчики Debian занимаются разработкой и (сюрприз) поддержкой Debian.
> Если я возьму открытый код squid и соберу пакет деб и пакет
> рпм, то уязвимость будет в обоих пакетах?
Если вы собрались заниматься сборкой и _поддержкой_ пакетов, то на этот вопрос вам придётся ответить самому. Именно поэтому сообщения об ошибках отправили разработчикам Debian а не разработчикам squid, потому что разработчики Debian занимаются поддержкой того, что собрали. Именно для этого они и нужны, именно этим и отличается дистрибутив от просто набора скомпилированных программ.
| | |
| 2.20, гость (?), 13:18, 28/06/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Я чето не понял как наличие уязвимости в squid связано с разработчиками
> Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.
В релизнутом дебиане проги старые, а в последних версиях прог этих багов может и не быть. Разрабы дебианы не будут пихать новые версии прог в свой стабильный релиз, потому с багами в старом софте им придётся копаться самим.
| | |
| |
| 3.33, serg1224 (ok), 14:51, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > В релизнутом дебиане проги старые, а в последних версиях прог этих багов
> может и не быть.
Старые баги авторы софта ВОЗМОЖНО и исправили, но от новых ляпов никто не застрахован. И, как практика, показывает баги есть всегда и в любом софте.
Тут речь скорее о культуре разработки ПО и инструментарии для этого.
| | |
|
|
| 1.8, Аноним (-), 12:05, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Я чето не понял как наличие уязвимости в squid связано с разработчиками Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.
Конечно скорее всего тут имеется ввиду что уязвимости есть в деб пакетах тех или иных прог, они (пакеты) собирались мейнтейнирами дебиан. Но тут не уточняется характер проблем.
Если я возьму открытый код squid и соберу пакет деб и пакет рпм, то уязвимость будет в обоих пакетах?
| | |
| |
| 2.15, dzetta (?), 12:38, 28/06/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
ты разрабочик дебиан? ты хочешь дать людям стабильную и надежную систему? -- тогда проблемы безопасности это твои проблемы...
| | |
| 2.90, Аноним (-), 21:18, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я чето не понял как наличие уязвимости в squid связано с разработчиками
> Debian? И почему разрабы дебианы должны фиксить косяки сторонних отилит.
Потому что иначе их пользователей малость похакают. Хотя спору нет, баги должны уйти и в апстрим.
| | |
|
| |
| 2.16, Andrey Mitrofanov (?), 12:41, 28/06/2013 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Самой программой они не хотят поделиться?
Конечно, хотят. Ждите новостей, мол, исследователь из CMU с группой рабов основал успешный бизнес по ...чего-то там про "безопасность". Академ-сорс же. Делиться будут методом продажи лапши на уши. Пресс-релиз вот уже есть.
| | |
| 2.42, pavlinux (ok), 15:39, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Самой программой они не хотят поделиться?
Mayhem is however not open source,
so I'm not sure people will be willing to make use of it. Let me know
if you think otherwise, and we'll discuss how we can set this up.
---
http://bitblaze.cs.berkeley.edu/
| | |
|
| 1.10, Аноним (-), 12:10, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
не удивлюсь если они отдают информацию спецслужбам США,,,,обратные двери в систему - это кладец для спецслужб
| | |
| |
| |
| 3.31, Аноним (-), 14:27, 28/06/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
И снова неправильно! Плохой у тебя переводчик, палишься пиндос!))
| | |
| |
| |
| 5.58, Аноним (-), 16:20, 28/06/2013 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Задний проход в систему же.
Когда все работает через этот проход - получается истинный UNIX way.
| | |
| |
| 6.81, Аноним (-), 19:47, 28/06/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
Всё через этот проход работает, только путь UNIX на этом проходе заканчивается, выбрасывая через него всё не нужное, в отличии от остальных, которые через этот проход свой путь начинают.
| | |
|
|
|
|
| 2.86, Аноним (-), 20:41, 28/06/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
Болван, лесной болван. Беги, лес, беги! Получи велосипеды! Лес, которым управляют. Ты задержан, или просто глупый?
| | |
|
| 1.22, Аноним (-), 13:38, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> направили разработчикам Debiab
1200? Что-то маловато нашли. Респект дебиану, в других линуксах небось больше раза в 3.
| | |
| |
| 2.24, Аноним (-), 13:40, 28/06/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> 1200? Что-то маловато нашли. Респект дебиану, в других линуксах небось больше раза в 3.
Наоборот. В других дистрах софт посвежее, и многие дыры уже закрыты :)
| | |
| |
| 3.113, Ильнур (?), 20:55, 30/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
то есть в debian дыры которые были закрыты в других дистрибютивах открывают?
| | |
|
| 2.37, Иван Иванович Иванов (?), 15:10, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
В Fedora флаги компиляции куда жёстче + SeLinux из коробки, вероятно, проблемы там менее критичные.
-Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4
| | |
| |
| 3.122, Аноним (-), 05:20, 01/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В Fedora флаги компиляции куда жёстче
Да вообще-то подобные флаги стали по дефолту во многих дистрах.
| | |
|
|
| 1.25, Xasd (ok), 13:45, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > чтобы не наводнять систему трекинга ошибок Debian новыми записями...
...и чтобы эти ошибки не исправлялись :-)..
ато ВДРУГ их исправят!!
нееееет, нельзя создавать багрепорты!!
</sarcasm>
| | |
| |
| 2.26, Аноним (-), 13:48, 28/06/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Закрытие уязвимостей может привести к нарушению стабильности™ - вдруг эти дыры используются другими программами из дистрибутива, и их исправление нарушит работу таких программ.
| | |
| |
| 3.28, Evgueni (?), 14:07, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Более того, по результатам одной из таких автоматических проверок один кекс, так поправил openssh (? -- кажется его) в debian, что пол года дыра удалённая в дистрибутиве весела. Там случайное число из невыделенной памяти кажется бралось, и "это" посчиталось за ошибку -- память выделили и почистили, а случайность превратилось в определённость.
P.S. Хотя возможно приврал, так как было давно и я слабо в этом вопросе разбираюсь.
| | |
| |
| 4.41, тигар (ok), 15:36, 28/06/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
на месте твоего сообщения должно было бы быть "мейнейнер дебиана знает лучше разработчиков openssl как оно должно быть". букв меньше, а смысл тот же
| | |
| |
| 5.45, Evgueni (?), 15:53, 28/06/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
Кекс не был разработчиком openssl -- он просто мимо проходил с автоматической проверкой.
| | |
|
| 4.65, arisu (ok), 16:32, 28/06/2013 [^] [^^] [^^^] [ответить] | +3 +/– | там даже ещё забавней было обезьяна пришла в список рассылки разработчиков Open... большой текст свёрнут, показать | | |
| |
| 5.72, Аноним (-), 17:53, 28/06/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> на вопрос, почему обезьяна, не имеющая реального опыта программирования на си (слова самой обезьяны) и разбирающаяся в криптографии так же, как в физике сверхмалых частиц, посчитала, что может вносить какие-то правки в OpenSSL — бебианцы не отвечают. точнее, самые умные просто делают вид, что вопрос не заметили, а остальные — как и положено обезьянам — начинают визжать и плеваться слюной.
Напоминает историю с "разработчиками" eudev, которые тоже "решили попрактиковаться в новой для себя области - программировании".
| | |
| |
| 6.74, arisu (ok), 18:15, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Напоминает историю с «разработчиками» eudev, которые тоже «решили попрактиковаться в новой
> для себя области — программировании».
совершенно не напоминает: еудевовцы не поставляли свои эксперименты в составе «стабильного дистрибутива».
| | |
| |
| 7.123, Аноним (-), 05:25, 01/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> «стабильного дистрибутива».
Да гентусятина при всем желании "стабильным дистром" не является. Вот только потому и ... :)
| | |
|
|
|
|
|
|
| 1.32, Pilat (ok), 14:47, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
 Такое ощущение, что комментаторы опеннета в массе своей идиоты. Вроде же понятно, что те же ошибки есть и в других дистрибутивах, софт один и тот же, а заявления типа "в свежих версиях всё пофиксено" не выдерживают никакой критики.
| | |
| |
| 2.39, Аноним (-), 15:16, 28/06/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
В общем да, ощущение есть. Впрочем уверен, что в среднем обобщённый комментатор оупеннета в жизни заметно более вменяем, чем тут. Влияние анонимности, ничего не поделаешь.
| | |
| 2.53, freehck (ok), 16:14, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Я бы даже сказал, что комментаторы рунета в основной массе своей идиоты. Знаете, есть такая штука, называется "правило 95%". И ведь работает.
А касаемо свежих версий - так у меня вообще мурашки по коже от таких заявлений. И ведь действительно существуют люди, которые верят, что с новыми версиями ПО количество багов становится меньше...
| | |
| 2.66, arisu (ok), 16:40, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Такое ощущение, что комментаторы опеннета в массе своей идиоты. Вроде же понятно,
> что те же ошибки есть и в других дистрибутивах, софт один
> и тот же, а заявления типа "в свежих версиях всё пофиксено"
> не выдерживают никакой критики.
тем не менее, авторам про ошибки решили не рассказывать, инструмента для личного проведения проверок нет. какой-то форониксовский стиль.
p.s. хм. извиняюсь. похоже, авторам таки рассказывают. поспешил.
| | |
| 2.108, Аноним (-), 15:40, 29/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
Думаю, большинство читающих считают "специалиста по безопасности" фуфлом, поэтому решили устроить сабантуй в комментах.
| | |
|
| 1.46, 0xd34df00d (ok), 16:01, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 По опыту взаимодействия с подобными утилитами — на хорошем стабильном популярном коде число false positives'ов — процентов 90, если не больше. Устроили FUD какой-то.
| | |
| |
| 2.55, freehck (ok), 16:18, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
> на хорошем стабильном популярном
> коде число false positives'ов — процентов 90, если не больше. Устроили
> FUD какой-то.
proof, пожалуйста.
| | |
| |
| 3.57, 0xd34df00d (ok), 16:19, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Тулзы от clang'овского анализера до cppcheck на тех же л-крафтах.
Но cppcheck — это вообще несерьезно, конечно.
| | |
| |
| 4.59, Аноним (-), 16:21, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Тулзы от clang'овского анализера до cppcheck на тех же л-крафтах.
А вы вообще различаете сорцы и бинарники?
| | |
| 4.91, Аноним (-), 21:25, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
>на хорошем стабильном популярном коде
>на тех же л-крафтах.
дедфуд снова троллит пользователей.
| | |
| |
| 5.92, 0xd34df00d (ok), 21:28, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> дедфуд снова троллит пользователей.
Всех двух с половиной?
Ну вот, кажется, сам себя затроллил :(
| | |
|
|
|
|
| 1.49, pavlinux (ok), 16:05, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
В общем они решили глобально заняться лечением Debian! Радуют!
> Will you also check Debian unstable? It is much easier to have a
> package in unstable fixed, and I suspect that not every crash you find
> will be a security relevant one.
We actually already did :) We re-ran all the crashes on debian
unstable. This means that all the crashes we are going to report have
been confirmed on the latest packages from debian unstable.
> Additionally, I guess that the vast majority of crahes you have found
> will be upstream bugs which the Debian maintainer would have to
> forward upstream. Will you take efforts to report these bugs to
> upstream as well?
Yes. Bugs will be reported upstream first. After two weeks, we will
re-ran the crashes on the latest packages from Debian unstable.
Hopefully, the upstream developers will had time to update packages
with a fix. If the crash still exists, then we will go ahead and
submit a report to the Debian BTS.
> Will you check distributions other than Debian, and how will you make
> sure that the upstreams are no swamped with identical bug reports from
> each of their downstream distributions?
We might check distributions other than Debian in the near future,
and, as you pointed out, we need to be careful not to report duplicate
bugs. Avoiding duplicate reports has been one of our main goal. That
is why we are reporting only one bug per binary, and at most 5 crashes
per package. We are still thinking about how to minimize duplicate
reports across distributions. One idea would be to limit the number of
"open" bug report to 1 per upstream. When the bug is marked as fixed,
we analyze the patched binary with Mayhem, and potentially report a
new bug if a crash is found.
Thanks,
The Mayhem Team
Cylab, Carnegie Mellon Univeristy
| | |
| |
| 2.54, Аноним (-), 16:15, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
Поучиться бы оупеннетовцам основательности подхода, вежливости, а также взвешенности формулировок.
| | |
| |
| |
| |
| 5.73, Аноним (-), 17:57, 28/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Мужики, вы об чём?
О том, что злобный редхат своей конкуренцией убивает наше все - Ubuntu, Mir, Upstart.
Надо срочно подготовить еще одну петицию "Поцтеринг уходи!"
| | |
|
|
|
|
| 1.70, Аноним (-), 17:30, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
$ apt-show-versions mayhem
mayhem not installed (even not available)
Нет такой программы. Свистеть --- не мешки ворочать, как говорится.
| | |
| |
| 2.82, Аноним (-), 19:49, 28/06/2013 [^] [^^] [^^^] [ответить]
| +6 +/– | |
+1
это какая-то их собственная поделка, никто не видел ее, измеряет в неизвестных науке попугаях
| | |
|
| 1.75, Аноним (-), 18:15, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
По чему баги прислали в дебиан, а не апстрим? При чём тут вообще дебиан?
| | |
| |
| 2.76, arisu (ok), 18:19, 28/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> По чему баги прислали в дебиан, а не апстрим? При чём тут
> вообще дебиан?
о, и ты попался. неа, апстриму — говорят — тоже отослали.
| | |
|
| |
| 2.96, Аноним (-), 00:23, 29/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Чудо-машина, проверьте порты openbsd.
Ну её: у меня на intel core i3 3000M видит только один проц, осталные OCя-четыре.
| | |
|
| 1.79, Аноним (-), 18:34, 28/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ничего тут нет страшного это еще один проект машинного тестирования программ с помощью машин по результатам сложно дать сразу ответ т.к. их нужно проанализировать но в любом случае это сделает Дебиан и открытое ПО еще безопасней.
| | |
| 1.97, Ordu (ok), 00:25, 29/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Как правило, проблемы вызваны переполнением стека или ошибками форматирования строки.
Может переполнение буфера на стеке? Стек достаточно сложно переполнить, по-моему. Да и существуют всякие технологии отлавливающие этот момент.
| | |
| |
| 2.99, arisu (ok), 00:51, 29/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Да и существуют всякие технологии отлавливающие этот момент.
одна из них называется «ядро», например. поставил ulimit — и программу нафиг сегфолтнут. ну, радости с того переполнения-то…
| | |
| |
| 3.101, Аноним (-), 01:25, 29/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
а еще выход за пределы памяти приложения для получения дампа данных
grsecurity поможет
| | |
| |
| 4.103, arisu (ok), 01:36, 29/06/2013 [^] [^^] [^^^] [ответить]
| +/– |
поможет отсутствие привычки включать кородампы на недовереных машинах.
| | |
| |
| 5.104, Аноним (-), 01:37, 29/06/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> поможет отсутствие привычки включать кородампы на недовереных машинах.
кордампы от «переполнение кучи», буферов / стеков не поможет
| | |
| |
| 6.105, arisu (ok), 01:40, 29/06/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> кордампы от «переполнение кучи», буферов / стеков не поможет
смешались в кучу кони, люди…
| | |
|
|
|
| 3.136, Ordu (ok), 20:50, 03/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Да и существуют всякие технологии отлавливающие этот момент.
> одна из них называется «ядро», например. поставил ulimit — и программу
> нафиг сегфолтнут. ну, радости с того переполнения-то…
Замечательный пример ответа по теме. Я повторю свой вопрос: точно ли имеется в виду переполнение стека, а не буфера? Только не надо мне в ответ расписывать методы борьбы с переполнениями стека, буфера, кучи, целого, float'а и проч. Вопрос гораздо конкретнее.
| | |
|
|
| 1.112, ua9oas (ok), 07:37, 30/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 А тогда насколько больше таких же проблем было в предыдущей его версии "7.0" ? При выходе новости о релизе "7.1" было написано, что исправлены не просто ошибки, а что исправлено их и много, и что много ошибок в т.ч. и существенных. Еще задолго до релиза "7" я тут писал, что очень может быть, что там так оно и будет, и что и после релиза "7.0" посижу-ка я подольше на "шестом" выжидательно, прежде чем обновлять его до "седьмого" (чтобы потерпеть подольше старый, но чтобы потом при обновлении "перепрыгнуть" сразу на какой-нибудь посовершенней").
И про обновления с чего выявлениями возникает еще такой вопрос: убунты через сколько времени достигают стабильности не худшей, чем "Дебиан"? А то это же очень заманчиво- иметь у себя ОС по стабильности и не худшей Дебиана, и намного свежее его (на этот счет я заметил, что на убунтах какие-либо апдейты бывают намного чаще, чем на Дебиане, так что тем более на то "два в одном" и надеюсь, но не разбираюсь (у меня есть он по-прежнему "6.0.7". Так многое ПО там может быть только более старым, чем в других дистрах, и обновить его там нельзя)).
| | |
| |
| 2.114, serg1224 (ok), 00:28, 01/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> это же очень заманчиво- иметь у себя ОС по стабильности и
> не худшей Дебиана, и намного свежее его
Конечно заманчиво: сразу в рай и без усилий :-)
Дебиан обеспечивает прежде всего функциональную стабильность, а уже потом безопасность. Стабильность работы системы, на которю не осуществляется агрессивное воздействие с целью нарушения нормального функционирования.
На сегодняшний день сборщики дистрибутивов (Debian и любого другого) не в состоянии контролировать всех независимых разработчиков, чьё ПО включается в дистрибутив ОС. Здесь просто все друг другу доверяют. По крайней мере до тех пор, пока не обнаружится подстава.
Если Вы не пользуете специальные средства безопасности, типа iptables, grsecurity, selinux, apparmor и пр., то Вы обречены ждать очередную дозу лекарства (патч) от разработчиков ПО или дистрибутива Вашей ОС. Ну или сами исправляйте.
В УНИВЕРСАЛЬНЫХ ОС такова нынешняя политика безопасности по умолчанию. Включение дополнительных средств безопасности создаёт риски ограничения функционала ПО и требует более высокой компетенции от администратора ОС. А как Вы понимаете, высокая компетенция по дефолту всем не раздаётся :-)
| | |
| |
| 3.115, arisu (ok), 01:05, 01/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> На сегодняшний день сборщики дистрибутивов (Debian и любого другого) не в состоянии
> контролировать всех независимых разработчиков, чьё ПО включается в дистрибутив ОС.
да бебианцам бы сначала самих себя контролировать научиться…
| | |
| |
| 4.116, serg1224 (ok), 01:15, 01/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> На сегодняшний день сборщики дистрибутивов (Debian и любого другого) не в состоянии
>> контролировать всех независимых разработчиков, чьё ПО включается в дистрибутив ОС.
> да бебианцам бы сначала самих себя контролировать научиться…
1) Тут скорее общая проблема всех дистрибутивов, а не конкретно Debian. Проблемы конкретного ПО практически всегда наследуются дистрибутивом.
2) Привидите, плиз, пример, кто собирает дистрибутив универсальной ОС, с соизмеримой пакетной базой, и делает это лучше чем Debian?
| | |
| |
| 5.117, arisu (ok), 01:20, 01/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> 1) Тут скорее общая проблема всех дистрибутивов, а не конкретно Debian.
но OpenSSL сломали именно в бебиане.
> 2) Привидите, плиз, пример, кто собирает дистрибутив универсальной ОС, с соизмеримой пакетной
> базой, и делает это лучше чем Debian?
это к делу не относится вообще. хотя даже дистрибутив Васи Лоханкина с тремя пакетами и нормальным OpenSLL уже лучше бебиана со 100500 пакетами. «единожды солгавший, кто тебе поверит?» бебианцы плюют на секурити с высокой колокольни, позволяя тупорылым обезьянам ковыряться своими жопными манипуляторами в критически важных криптографических пакетах. на помойку.
| | |
| |
| 6.118, serg1224 (ok), 01:57, 01/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> 1) Тут скорее общая проблема всех дистрибутивов, а не конкретно Debian.
> но OpenSSL сломали именно в бебиане.
А в каких сложных системах не бывает серьёзных поломок?! Ляп человеческого фактора. Завтра мы можем столкнуться с аналогичной проблемой в любом свободном от обязательств дистрибутиве, в т.ч. коммерческом. Какой-нибудь ментейнер на время отпуска коллеги "поможет" устранить уязвимость в меру общего, но не достаточно глубокого понимания проблемы и таким образом выдаст очередной ляп на посмешище специалистам.
>> 2) Привидите, плиз, пример, кто собирает дистрибутив универсальной ОС,
>> с соизмеримой пакетной базой, и делает это лучше чем Debian?
> это к делу не относится вообще.
Что "это" и к какому "делу" не относится?
> хотя даже дистрибутив Васи Лоханкина с
> тремя пакетами и нормальным OpenSLL уже лучше бебиана со 100500 пакетами.
В учебном классе для тренировки удалённого входа в систему?
Вам же OpenSSL не сам по себе нужен, а для работы с другими программами из тех самых "100500" !?
> «единожды солгавший, кто тебе поверит?»
Debian солгал или ошибся? Ссылочку, плиз, в студию про ложь.
> бебианцы плюют на секурити с высокой
> колокольни, позволяя тупорылым обезьянам ковыряться своими жопными
> манипуляторами в критически
> важных криптографических пакетах.
Согласитесь, для "плюющих на безопасность" они слишком часто выпускают обновления. Настоящие же плюющие должны помалкивать о проблемах безопасности.
> на помойку.
Так кто же лучше, чем Debian выпускает дистрибутивы универсальной ОС? На что переходить людям?
| | |
| |
| 7.119, arisu (ok), 02:38, 01/07/2013 [^] [^^] [^^^] [ответить] | –1 +/– | в Слаке я таких ляпов не наблюдал, например но да, да никто не виноват, так зв... большой текст свёрнут, показать | | |
| |
| |
| 9.121, arisu (ok), 04:35, 01/07/2013 [^] [^^] [^^^] [ответить] | –2 +/– | дёрг-дёрг-передёрг Патрик сотоварищи не имеет обычая патчить направо и налево ... большой текст свёрнут, показать | | |
|
| 8.124, Аноним (-), 05:28, 01/07/2013 [^] [^^] [^^^] [ответить] | +2 +/– | Ибо не ошибается тот кто ничего не делает Если кто вносит 0 изменений в програм... текст свёрнут, показать | | |
| |
| 9.126, arisu (ok), 05:39, 01/07/2013 [^] [^^] [^^^] [ответить] | +/– | и это намного лучше, ситуации, когда полоумная обезьяна лезет 171 править 187... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
