Linux opravil 5 let starou bezpečnostní chybu (diskuse)

Jo zde všichni vidíme ony "výhody" opensource že? Bezpečnostní záplaty přece vycházejí téměř v horizontu jednoho dne od doby odhalení bezpečnostního problému. Bez urážky ale to by už snad windows měli dříve hotovej service pack.

20.8.2010 02:01 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Je podstatné, že mohou vyjít v horizontu jednoho dne, a to nezávisle na původním dodavateli software. U opensource je prostě větší množina lidí, kteří to mohou dělat. Nic ale už nezaručuje, že to skutečně kdokoliv udělá. Bohužel skalní propagátoři opensource ten krok "může udělat" - "někdo to udělá, a ještě správně" nekdy považují za automatický.

Ani jeden model vývoje SW nezaručuje bezpečnost nebo rychlé opravy chyb. V tomhle konkrétním případě to spíš vypadá, že nešlo o tak vážnou chybu, aby hned někomu stála za opravu.

Je asi pravda, že kód málokterého OSS programu kompletně kromě autorů systematicky studuje někdo schopný odhalit chybu. Kernel na tom bude dost možná nejlépe. Pracuje na něm sice hodně lidí, ale každý povětšinou na své relativně izolované části. Kód sice prochází přes více lidí, ale to je u uzavřeného softwaru stejné. U značné části OSS programů není dost lidí ani na opravu evidentních chyb a vývoj nových funkcí, natož na hledání bezpečnostních chyb.

20.8.2010 16:38 srigi | skóre: 10 | blog: sricont
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

OSS ma ale pre propiertarnym SW jednu obrovsku vyhodu - az je chyba odhalena, moze sa opravy ujat ktokolvek sa na to citi. To komercny SW nema a dost mi to vadi (napr. nejaky prog. ktory je pre mna na windooze dolezity ma nejaku formu "ohrozujucej" chyby - ostava iba cakat, ze to vyrobca co najskor opravi).

Be kind to newbies.

20.8.2010 04:58 qwert
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

U Opensource jsou některé chyby opravovány ihned. Ve Windows nejsou žádné chyby opravovány ihned, většinou čekáte na slavné úterý blíže nespecifikovaného měsíce.

20.8.2010 08:02 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Otázka je, nakolik se věnovat potenciálním bezpečnostním problémům když jsou na pořadu dne jiné, často závažnější chyby. A v reálu jí využít asi nebude tak jednoduché, když se to povedlo až 5 let po jejím nalezení.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

21.8.2010 23:09 Hulka
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Tak to ten člověk musel mít pevnou vůli že se snažil demonstrovat zneužití chyby ( dle Vás s malým potenciálem zneužití) že u toho strávil 5 let. :-D

Nebylo by spíš rozumnější tu chybu opravit než přemešlet jak ji zneužít? Pokud je to tak jak říkate tak se pak nedivim že se nestíhájí opravovat chyby.

20.8.2010 09:09 Jirka
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

No u SUSE vysly v horizontu minus jednoho roku. A nikoho se nemuseli doprosovat ani za to nikomu platit.

20.8.2010 16:39 srigi | skóre: 10 | blog: sricont
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Je viac ako pravdepodobne, ze zaplatili formou vyplat developerom u Novelu.

Be kind to newbies.

20.8.2010 10:28 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Dělat z jedné chyby (jejíž zneužitelnost je sporná) systémovou záležitost (věc celého opensource) je poněkud přehnané, nemyslíš?

Ve světě opensource se o tom alespoň dozvíš. I když je to nepříjemné. Která komerční firma by na sebe práskla, že měla v systém 5let chybu?

Heron

21.8.2010 22:28 Hulka
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Dělat z jedné chyby (jejíž zneužitelnost je sporná) systémovou záležitost (věc celého opensource) je poněkud přehnané, nemyslíš?

Co je na dané metodě získání práv roota sporného? Je to snad nainstalovaný xorg server? Nebo snad jste extremistického názoru že správný administrátor pracuje jenom v konzoli? A pokud jste někdy programoval tak by jste asi věděl že i z na první pohled nevinné chyby se může vyklubat celkem slušný bug. Dále pokud jste to moc nepochopil tak jsem se snažil upozornit na často milně vyzdvihované vlastnosti opensource protože se toho mnohdy více nakecá než tomu doopravdy je. Naopak téměř nikde se nedozvíte o nevýhodách.

Ve světě opensource se o tom alespoň dozvíš

Už jsem právě dozvěděl. Prošel jsem během cca. 7 let desítkami linuxových ditribucí a také i FreeBSD (ten jsem nikdy kvůli špatné podpoře HW nikdy dlouho na počítači neměl). Na začátku jsem byl přesvědčen (i předvědčován) že linux je mnohem stabilnější a bezpečnější než windows. Postupně jsem však zjišťoval že neexistuje žádný operační systém který by neobsahoval nějaké bezpečnostní chyby. Poslední výhodou opensource se tedy může jevit už jen desetitisíce dobrovolníků po celém světě jenž kód neustále prohlíží a tudíž může chybu rychle objevit a opravit. Jak je ovšem vidět tak i v tomto případě na tom opensource nemusí být o moc lépe.

Která komerční firma by na sebe práskla, že měla v systém 5let chybu?

A co zveřejněná zpráva o 17 let staré chybě ve 32 bitových verzích windows přímo v kernelu? Za další, není důležité jak stará chyba to je ale za jak dlouho vyjde oprava této chyby (resp. jak dlouho se už o chybě ví). Navíc vzhledem k tomu že ke zdrojovým souborům OSS programu má přístup kdokoliv, by měla být rychlost odhalení a opravy o to víc palčivější.

21.8.2010 22:59 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Nebo snad jste extremistického názoru že správný administrátor pracuje jenom v konzoli?

Extrémistický? Pokud už na serveru musí být (z nějakého opodstatněného důvodu) grafické prostředí, tak tam neběží X jako taková (k čemu by to taky bylo?), ale nějaké to prostředí ve vnc. Případně ty gui aplikace lze spouštět přes ssh X-Forward.

Dále pokud jste to moc nepochopil tak jsem se snažil upozornit na často milně vyzdvihované vlastnosti opensource protože se toho mnohdy více nakecá než tomu doopravdy je.

Ale jo, pochopil. Já nejsem fanatický zastánce ničeho, sám tu mám pár kritických komentářů proti opensource a linuxu. Jen jsem chtěl upozornit na drobný detail a to je dělání závěru z jednoho případu. A to já prostě nemám rád. On nikdo soudný nikdy netvrdil, že opensource programy jsou bez chyby. Ale ty chyby se zkrátka opravují a mluví se o nich.

Na začátku jsem byl přesvědčen (i předvědčován) že linux je mnohem stabilnější a bezpečnější než windows.

Njn. Když oni to srovnávali s Windows řady 95. O řadě NT někteří přesvědčovači ani nevěděli.

Postupně jsem však zjišťoval že neexistuje žádný operační systém který by neobsahoval nějaké bezpečnostní chyby.

To byla, s prominutím, hodně naivní představa.

A co zveřejněná zpráva o 17 let staré chybě ve 32 bitových verzích windows přímo v kernelu?

Jenže to je opět jeden případ. Na tom nelze stavět žádnou statistiku.

Za další, není důležité jak stará chyba to je ale za jak dlouho vyjde oprava této chyby (resp. jak dlouho se už o chybě ví). Navíc vzhledem k tomu že ke zdrojovým souborům OSS programu má přístup kdokoliv, by měla být rychlost odhalení a opravy o to víc palčivější.

No jasně. Nikomu ta chyba (tehdy bez možnosti zneužití) nepřišla tak závažná, aby to opravoval. Jakmile někdo přišel s exploitem, tak to někdo fixnul. Tedy na (v tu chvíli) již reálnou chybu rychle zareagoval patchem. Mě by se taky líbilo, kdyby se opravovalo všechno. Ale to by pak šíleně brzdilo vývoj. A současný stav zkrátka funguje. Navíc bezpečnost není stav systému, to je proces. Služby, jejich nastavení, firewall, fyzické zabezpečení. On se ten útočník k tý zneužitelný chybě často ani vůbec nedostane (resp. admin by měl pro to udělat své maximum).

Heron

22.8.2010 13:38 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Nikomu ta chyba (tehdy bez možnosti zneužití) nepřišla tak závažná, aby to opravoval. Jakmile někdo přišel s exploitem, tak to někdo fixnul. Tedy na (v tu chvíli) již reálnou chybu rychle zareagoval patchem.

dovolil bych si poopravit - nikoliv "jakmile někdo přišel s exploitem", nýbrž "jakmile někdo zveřejnil exploit", jinak s tím exploitem mohl někdo přijít dávno, otázkou je za kým ... mně zas přijde naivní představa, že chyba se stane "reálnou" teprv ve chvíli, kdy je veřejně znám exploit, jako kdyby se každej podloudnej živel hned chlubil u MITRE/CVE, co všecko používá k průniku do systému, a tudíž chyba nemohla být zneužívána předtím, než je exploit veřejně znám ...

20.8.2010 11:51 bender
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Jo zde vidíme ony "výhody" closedsource že? Co třeba nedávná chyba ve windowsím shellu datující se až někam k windows 1.0. Jak dlouho byla zneužívána aniž by se o tom vědělo? jak dlouho trvala microsoftu oprava takové triviality? Mezitím se siemensáci mohly zbláznit...

20.8.2010 16:16 Radovan
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

V MS Excelu je prý jeden bug který pochází už z Visicalcu, tedy z roku 1979. Prý ho tam nechávají kvůli zpětné kompatibilitě :-D

20.8.2010 18:08 gtz | skóre: 27 | blog: gtz | Brno
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Copak VisiCalc je předchůdce Excelu?

- nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude

20.8.2010 18:11 gtz | skóre: 27 | blog: gtz | Brno
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Myslím, že ne, on přece dříve používal Multiplan, ale byl převálcován 123 od Lotusu a až hodně později vylezl M$ s Excelem. Max. se může jednat o zpětnou kompatibilitu pro Lotus 123 tedy používáním / menu.

- nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude

21.8.2010 00:18 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Zrejme se jedna o chybny vypocet prestupneho roku, kdy rok 1900 je v excelu povazovan za prestupny ackoliv nebyl. Chyba tam byla umele zanesena v dobe, kdy svetu dominoval Lotus 1-2-3 a excel potreboval pri otevreni souboru garantovat, ze zobrazi zcela presne stejna data jako lotus, protoze jinak byl excel nikdo nechtel. Vyvojari lotusu ale pri implementaci isleapyear zapomeli na tu cast se 400 lety.

Ta chyba je dokonce deklarovana jako vlastnost a je dokumentovana v ISO norme pro xlsx format a implementace teto normy se tak musi chovat.

Velmi podobna situace nastava s OOo, ktere pole deklarovana jako textova nescita, ani kdyz obsahuji cisla, kdezto Excel takova pole zkusmo prevadi na cislo a ta ktera jdou potom zahrnuje do sumy. Existuje velky tlak uzivatelu, aby OOo v tomto ustoupil excelu a okopiroval tuto chybnou implementaci a tak poskytl stejny vystup jako dominantni excel, byt je to v zasade chyba.

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money

20.8.2010 23:23 Radovan
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

To si piš že je, a nejen jeho, je to předchůdce všech dnešních spreedsheatů :-D

Zkusil jsem najít o který bug šlo, ale je jich v tom Excelu moc, takže nevím přesně. Ale možná je to tenhle:

-5^2 vyjde 25, místo správného výsledku -25

Otestoval jsem to a je to skutečně tak ;-)

Zajímavé je že VisiCalc počítá v BCD, je to pomalejší, ale přesnější...

21.8.2010 00:05 Mintaka | skóre: 13
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

V tom případě má chybu i Xcalc i OpenOffice. A Python dokonce vypočítá -7, to mi dává větší smysl -101 XOR 010 = -111 Google to šalamounsky převede na -(5^2) a uvede -25 :-)

21.8.2010 01:26 Radovan
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Přesně tak, ale je to opravdu chyba? Jaký je rozdíl mezi bugem a feature... :-D

Google to spočítá správně, protože pro něj má mocnina větší prioritu než negace, v těch spreadsheetech je to naopak. Co z toho je správně matematicky?
Mimochodem, v C také vyjde -7, jenže tam tenhle výraz má úplně jiný význam :)

21.8.2010 14:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

My se na ZŠ i SŠ učili, že mocnina má větší prioritu.

21.8.2010 21:52 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Mě zase céčko učilo, že větší prioritu má unární minus :-)

Popravdě zdá se mi to i logičtější. Unární mínus je vlastně důležitá část čísla,. Stejně jako 5 a 6 není to samé číslo, tak 5 a -5 není to samé číslo. Dalo by se říci, že - říká, že mám násobit číslo -1 krát. Proč rozdělovat -5^2 jako (-1)×(5^2). To bychom mohli stejně dobře říci, že 6^2 se bude počítat jako 2×(3^2).

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

22.8.2010 22:44 pexxi.sk
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Vasa interpretacia zaporneho znamienka (ako 'dolezita sucast cisla') by ale sposobila nejednoznacnost v matematike:

-x^2+2 [podla Vas (-x)^2+2] by davala iny vysledok nez 2-x^2, kedze v prvom pripade by sa jednalo o unarne minus ale v druhom pripade uz nie.

A to by uz bol velky pruser... ;-)

23.8.2010 08:08 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Jasně, že by to dávalo jiný výsledek. Ale nejednoznačné by to nebylo.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

21.8.2010 22:52 Hulka
Rozbalit Rozbalit vše Re: Linux opravil 5 let starou bezpečnostní chybu

Jak dlouho mohla být tato chyba v linuxovém jádře zneužívaná aniž by o tom někdo věděl než napadlo dobrochtivého típka demonstrovat její zneužití? 5 let známá chyba je dost na to že se jedná o opensource projekt.