Linux - magasan a legsebezhetőbb 2003-ban (???)
2004-01-05T09:11:02+01:00
2004-01-11T15:09:48+01:00
2022-07-27T14:57:49+02:00
  • Helló Sting! (Nem tudom, de mindig stringet akarok írni )))

    Szóval csak ezt a modatodat szeretném egy kicsit felnagyítani:
    "Minden általánosságban tett ilyen állítás hamis."-mondod.

    Akkor ez a mondat is hamis lenne? Azaz ki borotválja a borbélyt?

    Komolyra fordítva a szót! Azért mert mások a Windows vagy a Linux iránt elfogultak, azért a PROG.HU lehetne még okosabb náluk és igazi jó elfogulatlan írások jelenhetnének meg. Ekkor hidd el sokkal nagyobb lenne a hiteled még akkor is, ha a Linux-ot szídod...
    Boldog Újévet!
    Imre
    Mutasd a teljes hozzászólást!
  • Ok, a te dolgod.
    Mutasd a teljes hozzászólást!
  • Ha el tudja olvasni a MAGYAR nyelvű telepítési útmutatót, akkor már nem lehet nagy gond. Másrészt nem is állítottam, hogy egy átlagusernek Gentoo kell, csak azt, hogy nekem az a jobb.

    Elég sok doksi megtalálható a
    MaGenTa-n is (van egy kis közöm a laphoz), de minden magyar leírás ott figyel a Gentoo.org-on.

    Az én környezetemben még mindíg a Debian a divat OS, de ezen nem veszünk össze.
    Mutasd a teljes hozzászólást!
  • Tehát egy sima konzolos gépen (mivel a linux kernel nem az akármilyen nevű kínai gyártó .ini fájlját keresi hanem a chipet) egy jól konfigurált kernel nagyságrendekkel több hardvert elindít [...]


    Értem, ez az előny, a hátrány pedíg, hogy nem működik a legfrisseb eszközökkel, vagy azokkal, amiknek nincs megfelelő Linuxos felhasználói bázisa.

    A Debian filozófiája valami olyasmi volt, hogy más disztribek számára már majdhogynem elavult verziójú programokkal készült, de ugye ennek is megvolt a jó oka: nem egy desktop-disztribnek indult.


    Értem, és sajnos ezt a behatást még ma is tapasztalom (persze a sajnos a Desktop felhasználás miatt jön be)

    Úgyhogy ha bármelyik wingyógy az utolsó bitig mindent feltelepít a gépére és az összes kártya összes driverét és programját is felteszi, én akkor is 3-szor annyi alkalmazást tudok hozzá indítani és azt használom amelyik tetszi


    Kérnék egy példát, ahol windowson ez nem megvalósítható.

    Igaz és tízszer is igaz hogy SOKKAL bonyolultabb megcsinálni egy fullos linuxot, de kérdem én melyik átlagember nem viszi vissza, hívja a hozzáértőt, imádkozik stb. hónapokon át, ha winx-szel kapja a gépét? Téged hány ezerszer hívott vmelyik ismerősöd hogy kinyírta a win-t?


    Igen, és olyan is ezerszer hívott aki a Linuxát nyírta ki.
    Én speciel nem érzem problémásnak a bonyolult telepítést, de sokan mások igen, és a desktop linuxok mutatják, hogy erre más is rájött.

    [off]
    Volt szerencsém nekem is feltelepíteni egy helyen az UHU-t, ahol még életükben nem használtak számítógépet, de sajnos ma ott tartanak, hogy szeretnének egy windowst, de nem azért mert az jobban menne nekik, csak mindenhol azt halják, hogy a linuxszal mennyivel nehezebb bánni. Szerintem titkon azt gondolják, hogy a használati gondjaik meg fognak szűnni a winnel. Legyen, mondtam én, és legközelebbn fel is rakok egy xp-t a Linux mellé, közölve elük, hogy azt használják, amelyiket akarják, és hogyha a win tetszik, vegyék is meg maguknak.
    [/off]

    Megintcsk kifejteném örömömet, hogy nem indulatokra, hanem tényekre kell reagálnom.

    Üdv,
    Laci
    Mutasd a teljes hozzászólást!
  • Desktop szamitogepen Gentoo sem tul optimalis valasztas, az atlagember szamara, legalabbis.

    Ami pedig a legujabbat illeti, en utalom az ok nelkuli upgradelgetest. Ha indokolt, akkor persze upgradelek, de egyebkent...
    Szoval egy Office 2000 -> Office XP szintu upgradenek gondolom SIDben is van nyoma. De mindig mindenbol a CVS HEADet, az hulyeseg.
    Mutasd a teljes hozzászólást!
  • Sziasztok!
    Bocs, hogy csak úgy beleszólok de szerintem a Debian még mindig magasabb védelmet foglal magába! Amúgy az egész csak attól függ, hogy ki a Root és, hogy mennyire foglalkozik a biztonsággal!
    Mutasd a teljes hozzászólást!
  • Nem ítélem meg a userek alapján, csak értelemszerűen a userek azok akik a tudásbázist jelentős részét adják, ilyen szempontból a kérdés megkerülhetetlen.
    Én úgyérzem, hogy szükséges a legújabbat használni, mert rengeteget tud dobni a produktivitáson (pl az office 2000 és xp között alíg van eltérés, ami alapján az újabb jobb lenne, de mondjuk egy Anjuta 1.2.0 ezerszer használhatóbb eszköz, mint az Anjuta 1.0.2. Nemtudom, hogy a debianban melyik verzió van, mert a kereső szolgáltatásuk jelenleg nem elérhető.)

    Mégegyszer kihangsúlyoznám, hogy ez csak egy vélemény, egy érzés, ami nem vitaképes. Nekem ez jön le a DEbianról, elhiszem és látom is, hogy ott is hatalmas előrelépések történnek, de neked is meg kell értened, hogy egy desktop számítógépen a Debian jelenlegi filozófiája célt tévesszt. Én Linuxot MA az innavtivitás alapján választok, lehet, hogy holnap másképp lesz.

    Üdv,
    Laci
    Mutasd a teljes hozzászólást!
  • Nem tudom, mi ertelme van mindig a legfrissebb utan vadaszni. Mi van akkor, ha nem friss, viszont megfeleloen mukodik? Az esetek tobbsegeben a Debian SID valoszinuleg megfeleloen friss tud lenni.

    Egyebkent nekem ugy tunik, a Gentoo az, ami mostanaban divatOS. Peldaul mikor bugtraqen osztja az eszt a user, hogy local akarmi az OpenBSD kernelben -> felejtsd el, hasznalj Gentoot!
    Meg anno a Debian szervereinek feltoreset kovetoen is voltak paran, akik hangoztattak, hogy bezzeg a Gentoo...

    Szoval egy rendszert nem a userei alapjan kellene megitelni.
    Mutasd a teljes hozzászólást!
  • Szisztok !

    Szerintem a linux egy, ilyen értelemben debian, suse, gentoo mindegy. He rendesen be van állítva, és frissítve van nincs baj, és rock solid.

    A linuxos hibák általában kiderülnek, és rövid időn belül kijavítják őket, M(á)Shol lehet, hogy ki sem derülnek.

    A linux a kernelt jelenti elsősorban nem a disztribúciót.

    A linux/unix alapvetően biztonságos from the ground up, M(á)Shol ez nem biztos, hogy így van.

    M(á)Shol csak azért olyan jó, mert van rá ez is meg az is, bárcsak portolnák programjaikat linuxra is (pl. Adobe).

    gdes
    Mutasd a teljes hozzászólást!
  • Értelek én téged, csak rá akartam világítani, hogy az előző hozzászólásod egy kicsit meggondolatlan volt, remélem ezt te is így érzed.
    Sajnálom, h nem tudod kipróbálni a Gentoot (persze lehet ezt is offline telepíteni, de megértelek, hogy nem akarsz ezzel szívni). Engem a Gentoo filozófia ragadott meg, és szerencsére itt sokkal kevesebb beképzelt user van (mivel ez még nem divat OS, mint a Debian). Az én meglátásom, hogy a Debianon eléggé mutatkoznak a belterjesség jelei, mint ahogy lejjebb ezt ki is fejtem. Szerintem a mai világban az elterjedtség nagyon függ a szoftverek frisseségétől, és ugyebár a debian ebben nem jeleskedik. De könyörgöm, a stable Gentooban frissebb csomagok vannak, mint az unstable sid-ben, mégsincs vele semmi gondom!

    Nekem a Debian (mostanában változni látszó) puritán szemlélete is taszított annó, mindenki azt szajkozza, hogy az IceWM, hogy a windowmaker, hogy a mittoménmi dejó mer nem zabálja a gépe erőforrását. Ezt nem csak a p1 userektől, halani, sokak athlonXP-vel és P4-gyel is csak azon élvezkednek, hogy 1% alatt tartsál a proci használatot... Őrjítő.

    Nekem a gtk(mm) 2.x és a gnome 2.4 meghozta azt a színvonalaz, amire már régóta vártam (programozhatóságilag is), végre lehet igazán zép UI-t programozni benne.

    Nah, megye aludni. Ha vmi nem egész világos, nézd el nekem, késó van.

    Údv,
    Laci

    ps: Őrülök, hogy lehet veled tények alapján is beszélni.
    ps2: Ahogy most átnéztem a levelet, az derült ki számomra, hogy ez inkább felfogható az én érzelmi kitörésemnek, mint érdemi válasznak a leveledre, sebaj, azt majd reggel írok.
    Mutasd a teljes hozzászólást!
  • Azért azt se felejtsd el hogy a felismert hardwarehez a Windows XP alapból nyújt szoftvereket, pl a webkamerákról le tudja szipkázni a képeket anélkül hogy bármit is fel kéne raknod, ugyanez a scannerekre is igaz valamint a cd-írás is alapból a funkciók között szerepel, (igen tudom nem egy Nero, de a consumernek adat cd írására tökéletesen megfelel)

    G.
    Mutasd a teljes hozzászólást!
  • Igazán nem akartalak megbántani, amit írtam nem neked szántam. Na. Két dolgot külön szeretnék választani:a kernel és a Debian két "független" fejlesztés, bár mindkettőt igen gyorsan fejlesztik.
    Tehát egy sima konzolos gépen (mivel a linux kernel nem az akármilyen nevű kínai gyártó .ini fájlját keresi hanem a chipet) egy jól konfigurált kernel nagyságrendekkel több hardvert elindít; már tudok TV-t nézni. Felparaméterezett kernel modulokkal a DVB kártya A-V outján.Ha win alatt be is dughatod a driver CD-t még mindig telepítened kell egy szoftvert is... De ezt te is tudod. Akkor jöhet a jelenleg 12CD-s SID... Ha még végérvényesen nem vesztetted el a "hited" talán próbálj ki egy újabb Debian-t; ha te egy éve nem láttál Debian-t meg fogsz lepődni. Bár lehet hogy a Gentoo klasszisokkal jobb sajnos nem férek hozzá csak modemem van... a 12CD-t ajándékba kaptam.. Igen, lehet vele szívni de: ugye a Debian filozófiája valami olyasmi volt, hogy más disztribek számára már majdhogynem elavult verziójú programokkal készült, de ugye ennek is megvolt a jó oka: nem egy desktop-disztribnek indult. Úgyhogy ha bármelyik wingyógy az utolsó bitig mindent feltelepít a gépére és az összes kártya összes driverét és programját is felteszi, én akkor is 3-szor annyi alkalmazást tudok hozzá indítani és azt használom amelyik tetszik. Igaz és tízszer is igaz hogy SOKKAL bonyolultabb megcsinálni egy fullos linuxot, de kérdem én melyik átlagember nem viszi vissza, hívja a hozzáértőt, imádkozik stb. hónapokon át, ha winx-szel kapja a gépét? Téged hány ezerszer hívott vmelyik ismerősöd hogy kinyírta a win-t? Nekem volt az a szerencsém, hogy 3 olyan felhasználóm van akik még sosem láttak win-t és az első gépük linuxos volt (és az is a mai napig) Megmutattam nekik hogy ha az egész desktopot behúzzák a kukába akkor sincs baj és láss csodát nem hívogatnak hogy "le kéne formázni az egészet nert fagy, kócos a regisztry, vírusos..." csak használják. Az állítólagos hibáival együtt. Eh, kár ezt a csontot tovább rágni...Cső
    Mutasd a teljes hozzászólást!
  • Kár, hogy idáig nem azt akartad bizonygatni, hogy értelmetlen az összehasonlítás, hanem, hogy a 186 miért nem 186, és a 126 miért nem 126.


    Kar lenne, ha igy lenne, de nem igy van.
    Az elso hozzaszolasom a temahoz:

    Kicsit tobb munkaval akar korrekt osszehasonlitast is lehetett volna csinalni: mennyire biztonsagosak az adott rendszerek mint a win alternativai (megnezzuk, hogy egy tipikus win szerveren milyen szolgaltatasok vannak, es, hogy az egyes disztribek/oprendszerek megfelelo szoftverei mennyi hibat tartalmaztak). Illetve meg ertelmesebben, mennyire biztonsagos egy egy rendszer az adott feladat szempontjabol (web szerver, ftp szerver, mail szerver, intranet file szerver).


    Ezt azota tobbszor is leirtam, kifejezetten neked cimzett uzenetekben, de mintha a falnak beszelnek.

    Ebbe a melyik hiba szamit dologba abszolut miattad csusztunk bele, sot, en egyaltalan nem allitottam, hogy ezek 'nem szamitanak', csak azt a szerencsetlen kis felvetest probaltam megvedeni, hogy a linux disztrok igy ebben a formaban nem hasonlithatok ossze a csupasz windows-zal (meg akkor sem, ha a 'csupasz' windows viszonylag sok funkcionalitast tartalmaz). Erre te elkezdtel azon vacakolni, hogy nem a teljes disztribucio hibait tartalmazza a lista, mert az Apache es az OpenOffice nincs benne az osszehasonlitashoz hasznalt szamokban. Ez ugyben tevedtel. Ket dolgot tehettem:
    1., Bebizonyitom, hogy nincs igazad (lasd pl. az alltalad is idezett, a mandrake 126 hibajarol szolo hozzaszolasomat)

    2., Teszek ra, hogy mit irsz (szerintem ez nem lett volna tul udvarias a reszemrol), es hajtogatom tovabb ugyanazt, amit az elso hozzaszolasomban is irtam (persze ezt IS megtettem, vagy 5x irtam le, hogy a bajom az, hogy a cikk modszere rossz)

    Erre a te reakciod:
    Mindig az 1.,-es pontban levo velemenyhalmazra reagaltal, aztan a vegen egy ugyes manoverrel (ahelyett, hogy belatnad - legalabb magadnak! -, hogy tevedtel) a fejemhez vagod, hogy a hibakat szamolgatom ahelyett, hogy a modszert hibaztatnam. TE, aki szerint a modszer JO. Szerinted hogy kellett volna reagalnom? (2.,-es pont, teszek arra amit irsz?)


    Azért örülök, hogy végre rájöttél te is arra amit mesélek (ti. vagy minden értesítőt számolunk, vagy egyet sem, mert nem lehet összevetni őket, még egyenként, konkrétan sem),


    Egy kicsit elkeserit, hogy meg mindig nem megy at, amit mondok. Most mar erdekel, hogy hanyszor kell leirni ahhoz, hogy megertsd. Nem, nem jottem ra arra amit irsz. Arra jottem ra (elso olvasasra), hogy a cikk szakmailag hibas. Abban egyetertunk, hogy utolag nem lehet kozmetikazni ('minden ertesitot szamolunk'), csak abban nem, hogy az igy kapott eredmeny er-e valamit.

    Szerintem nem er semmit (es a tobbi 'frocsogo' forumozo szerint sem), mert ket olyan rendszert hasonlit ossze, amik funkcionalitasukban nem allnak egy szinten. Ettol akar meg lehetne wgy windows rendszer is jobb, de ezt ebbol a statisztikabol soha nem fogjuk megtudni. Erted? El tudod fogadni? Vagy EZZEL nem ertesz egyet? Szerinted van alapja az osszehasonlitasnak?
    Mutasd a teljes hozzászólást!
  • Kár, hogy idáig nem azt akartad bizonygatni, hogy értelmetlen az összehasonlítás, hanem, hogy a 186 miért nem 186, és a 126 miért nem 126. Na, mindegy. Azért örülök, hogy végre rájöttél te is arra amit mesélek (ti. vagy minden értesítőt számolunk, vagy egyet sem, mert nem lehet összevetni őket, még egyenként, konkrétan sem), bár kár, hogy összekevered, ki mit mondott, mit védett (ti. hogy értelmetlen az összehasonlítás, vagy azt, hogy miért kell kizárni ezt meg azt meg amazt az összehasonlításból). Pl. lásd: ezt tőlem ("én egyetlen egy dolgot vagyok hajlandó elfogadni: azt, hogy vagy minden mesterségesen le nem leszűkített [...] számszerű összehasonlításnak van alapja, vagy hogy minden összehasonlítás értelmetlen"), és ezt tőled ("A Mandrake-nal 126 hiba szerepel osszesen a listaban, ha ebbol levonom a 7 apache hibat, akkor a grafikonon a Madrake oszlop diagramja nem lenne szabad, hogy elerje a 120-as vonalat, de fole log...").
    Mutasd a teljes hozzászólást!
  • Ugy latom nem tudod megerteni, amit irok, ezenkivul a tevedeseid elismerese sem megy konnyen (jol leflamelesz amiatt, hogy hulyesegeket beszelek, meg onellentmondasba kerulok valami miatt, de aztan, amikor bebizonyitom, hogy nem, akkor egy sima "bocs" sem fer bele).

    Rosszul kozelited a problemat, ill. gyokeresen maskepp, mint en. Te azt veszed alapnak, hogy a statisztika jo, es en ezt akarom kozmetikazni azzal, hogy hibakat zarok ki belole (ha igy nezed, akkor megertem, hogy bosszanto a dolog ).

    Szerintem pedig a alapjaban statisztika rossz, mert nem egyforma dolgokat hasonlit ossze. Nem kizarni kell belole szoftvereket, hanem el kell dobni az egeszet (semmit sem er), es csinalni kell egyet normalis modszerrel (mar, ha erdekel az eredmeny valakit is). Egy szerintem kivitelezheto, es ertelmes modszert leirtam parszor itt a forumben, tobbsegeben a neked cimzett uzenetaimben. Ha el akartad olvasni, elolvastad. Ha azzal nem ertesz egyet, azon van ertelme vitatkozni. Igy, erzelmi alapon nincs.

    És akkor majd megmutatom neked, hogy azon az alapon ami alapján te kizártad azt a közel száz sebezhetőséget, én is ki tudok zárni arányaiban hasonló sokat a 34-ből - és máris megint ott leszünk, ahol most vagyunk. Addig meg csak nézegesd a számokat, és gondolkozz!


    Egy rossz statisztika rossz eredmenyei vagy kozmetikazasa alapjan eleg nehez jo kovetkeztetest levonni - szerintem ertelmetlen is.
    Mutasd a teljes hozzászólást!
  • Legyél szíves majd akkor szólj, amikor annyi hibát kizártál ilyen-olyan indokkal a 126-ból / 168-ból, hogy elérik vagy megközelítik a statisztikában legrosszabbul szereplő Windows rendszer 34-es értékét! És akkor majd megmutatom neked, hogy azon az alapon ami alapján te kizártad azt a közel száz sebezhetőséget, én is ki tudok zárni arányaiban hasonló sokat a 34-ből - és máris megint ott leszünk, ahol most vagyunk. Addig meg csak nézegesd a számokat, és gondolkozz!
    Mutasd a teljes hozzászólást!
  • Ez egyrészt nem igaz (egyébként is: az Apache sebezhetőségek általában miért ne érintenék a Debiant?). Itt van pl. egy: Vulnerability Note VU#206537 - Apache vulnerable to DoS (Apache vulnerable to DoS, Debian Vulnerable 8-Apr-2003).
    Másrészt pont TE voltál az aki két hozzászólással előtt még azt bizonygattad, hogy "a 186 hibaban amit a Debian bejelentett, az osszes olyan hiba benne van, ami a ditribucio reszet kepezo csomagokat erinti. Igen, az Apache hibai is".


    Tudod mit, csak mert unatkoztam, meg mert nem szeretem, ha szandekosan hulyere vesznek... Meg egy adalek: megneztem a Secunia Mandrake listajat, es lass csodat, abban vannak Apache (1.3.x, es 2.x) hibak, es ezek szerepelnek a cikk osszesiteseben is. (A Mandrake-nal 126 hiba szerepel osszesen a listaban, ha ebbol levonom a 7 apache hibat, akkor a grafikonon a Madrake oszlop diagramja nem lenne szabad, hogy elerje a 120-as vonalat, de fole log...)
    Mutasd a teljes hozzászólást!
  • Ezzel ugy altalaban nem nagyon szoktak egyeterteni azok az arcok, akikkel en biztonsagtemaban levelezek. Es pont a lokalis root exploitok lehetosege miatt.


    Ez nagyon relativ. A serulekeny szerver processzek szinte minden esetben kokemenyen be vannak korlatozva, chroot/jail/sysctl/stb. Ha egy remote exploittal valaki ezeket megnyomja, abbol rendesen megtervezett rendszernel nem kellene, hogy komolyabb baj szarmazzon, mert a fontos adatok ugyis fuggetlenul, mondjuk egy adatbazisban vannak, es - ismet rendesen megtervezett rendszert alapul veve - mondjuk a www user nem fer hozza semmilyen bizalmas adathoz az adatbazisbol. (mellekag: ezt pl nem nagyon lehet MySQL-lel megcsinalni).
    Ha viszont local root exploit van, akkor egyreszt a fentebbi korlatozasokbol ki lehet torni, masreszt az ellesett/ellopott/lesniffelt jelszavakkal kapasbol komoly karokat lehet okozni.
    Nincs nagyon ertelme tehat azt boncolgatni, hogy melyik tipus a veszelyesebb, mert ez a kerdes teljesen a szerver felhasznalasi teruletetol fugg.

    netchan
    Mutasd a teljes hozzászólást!
  • Na, orulok, hogy errol az Apache/Debian/Secunia dologrol sikerult megyozzelek .

    Csak az a kar, hogy ha valaki megint felvetne, hogy nem korrekt az osszehasonlitas, akkor ugyanazokat a dolgokat irnad neki, amiket nekem irtal a vita elejen

    A tobbi dologrol szivesen dumalok veled, de ne erezd ugy,hogy barmit is ki akarok magyarazni, mert nem akarok. Koszi.

    Minden általánosságban tett ilyen állítás hamis. Egy abszolút nem privilegizált júzer jogosultságai mellett futó, de remote exploit lehet sokkal ártalmatlanabb (ti. semmit nem lehet vele gyakorlatilag a gépen csinálni), mint egy kizárólag lokálisan kihasználható, de kernel szintű jogok melletti kódfuttatásra


    Ezzel ugy altalaban nem nagyon szoktak egyeterteni azok az arcok, akikkel en biztonsagtemaban levelezek. Es pont a lokalis root exploitok lehetosege miatt. Az altalam ismert kozvelekedes az, hogy ha mar bent van a tamado a gepen, akkor mar gaz van. (Ez nem azt jelenti, hogy a lokalis hibak bagatellek, mielott itt leragadnal.) Ha van egy jozsika user (vagy wwwdata, vagy akaermi) jogaival futo kintrol torheto alkalmazas (altalaban buffer overflowrol van szo), akkor jozsika neveben nyugodtan lehet garazdalkodni (shellt nyit, rm -rf *, esetleg egy local root exploit, ha van).

    Szóval általánosságban nem igaz, hogy a remote exploit nagyobb kockázat, mint a lokális exploit.


    Szerintem altalaban igaz, meg ha altalanossagban (vagyis minden esetre) nem is.

    Jajj, képzeld, és ez mindegyik IE, DirectX, stb. sebezhetőségre is igaz, amelyek a Windows-os értesítők 90%-át kirakják. Na és akkor mi van? (Az, hogy megint eljutottunk oda, hogy ha megengedjük bármi alapon valamelyik biztonsági rés kizárását, akkor mindegyik másikra is meg tudjuk magyarázni, hogy azt meg miért lehet/kell szintén kizárni.)


    Nem, nem kell szelektiven kizarni. Tudod en meg mindig nem sebezhetoseg (lokal, nem lokal) alapjan 'szeretnem kizarni' a secunias cikkbol a hibak egy reszet, hanem mennyisegi alapon: mennyi funkcionalitast vizsgalunk. Es nem, nem minden egyes kis bizbasz (richedit,mittomenmi,Xeye, stb.) funkcio alapjan, hanem ugy nagyobb darabokban - ahogy mar N+1-szer irtam (de eddig egyszer sem meltattad valaszra): fogunk hasonlo funkcionalitasu szoftver csomagokat (windows-ra, linux-ra), es megnezzuk, hogy melyikben mennyi hiba volt.

    Pl. egy X-db funkcioval biro szerver eseten (de az X funkcio legyen azonos!). Erre win alat kijon egy szam, linuxok alatt pedig egy min es egy max. szam (attol fuggoen, hogy a hasonlo funkcionalitasu alkalmazasok kozul mit veszel figyelembe - pl. sendmail, vagy postfix, stb.)

    A DirectX biztios, hogy nem admin jogokkal fut, nincs kernel modu resze? Csak azert, mert az kozvetlenul kezeli a videokartyat, nem?

    A RichEdit nem a windows alaprendszer (ablakozo rendszer) resze?
    A hibás RichEdit nem a Windows alaprendszer része, hanem gyakorlatilag minden Windows-on folyamatosan frissített komponens egy hibás változata. Te szerintem nem találsz olyan real-life, rendszeresen frissített és/vagy alkalmazásokkal telepített Windows installációt, ami esetében az a comctl32.dll van a gépen, ami a rendszer telepítő CD-jén is volt.


    Szoval az eredeti megiscsak az alap win 'disztribucio' resze.

    Mondhatnám azt is, hogy a RichEdit hibát is kihúzhatjuk, ha az Apache hibát kihúzzuk azzal a felkiáltással, hogy a stabil változatokat nem érinti, azaz a stabil disztrók telepítő CD-jén nem hibás változat van. Persze ez megint hülyeség lenne, mint ahogy az Apache sebezhetőség kizárása is az ezzel az indokkal.


    Nem, nem mondhatnad, mert az apache egyreszt nem egy szoftverkomponens, hanem egy onallo(an mukodokepes es hasznalhato) sw, masreszt egy normalis linux disztro alatt (maradjunk a Debiannal) nem cserelodnek le csendben mindenfele szoftverkomponensek. Nem cserelgetjuk csak ugy az alaprendszer komponenseit, mert felkerul egy uj szoftver, es annak az x.y.z.1-buggy verzio kell, es nem az x.y.z.0.

    Latom meg mindig nagyon csipi a szemed, de mas is megerositett abban, hogy a 2-es apache-t igen csak elenyeszo aranyban hasznaljak ugy egyaltalan, nemhogy a Debian juzerek. Az eset kicsit sem hasonlit a RichEditre, sorry.
    Mutasd a teljes hozzászólást!
  • Az viszont nem kerdes, hogy mas a kockazati szintje, mint egy remote exploit-nak.

    Minden általánosságban tett ilyen állítás hamis. Egy abszolút nem privilegizált júzer jogosultságai mellett futó, de remote exploit lehet sokkal ártalmatlanabb (ti. semmit nem lehet vele gyakorlatilag a gépen csinálni), mint egy kizárólag lokálisan kihasználható, de kernel szintű jogok melletti kódfuttatásra lehetőséget adó biztonsági rés. Szóval általánosságban nem igaz, hogy a remote exploit nagyobb kockázat, mint a lokális exploit.

    Sőt, ha két konkrét sebezhetőséget mondasz, még azokat sem lehet összehasonlítani, mert általában nagyon sok másik faktortól függ az, hogy mennyire használhatók ki, azaz milyen kockázatot jelentenek (pl. hányan férnek hozzá a géphez, milyen gyakran férnek hozzá, milyen biztonságos jelszavakat használnak, milyen más szoftverek vannak a gépen - amik mondjuk lehetőséget adnak a bejutásra, amikortól már local exploit is használható -, stb.)

    Ezek tehat lokalis sebezhetoseget jelentenek, de 'csak' arrol van szo, hogy a futtato felhasznalo neveben tudsz garazdalkodni. Pl. egy jol megformazott buffer overrun tamadassal az xpdf eseteben letorolheted a futtato felhasznalo altal elert fileo-kat. De normalis ember nem futtat xpdf-et root jogokkal.

    Jajj, képzeld, és ez mindegyik IE, DirectX, stb. sebezhetőségre is igaz, amelyek a Windows-os értesítők 90%-át kirakják. Na és akkor mi van? (Az, hogy megint eljutottunk oda, hogy ha megengedjük bármi alapon valamelyik biztonsági rés kizárását, akkor mindegyik másikra is meg tudjuk magyarázni, hogy azt meg miért lehet/kell szintén kizárni.)

    A WM_TIMER cuccos, az nem kernel hiba? (Nem ismerem a konkret hibat.)

    1. Nem kernel hiba (egyáltalán semmi köze nincs a kernelhez az üzenetkezelésnek)
    2. Nem a rendszer hibája nyitja a biztonsági rést, hanem a rosszul megírt alkalmazás (nem a WM_TIMER a hibás, hanem az az alkalmazásprogramozó, aki egy privilegizált ablakot olyan desktopon nyit, amin nem privilegizált processzek is hozzáférhetnek; ez kb. olyan, mint ha a Linux kernel hibájának nyilvánítanád a guid/suid lehetőséget, mert ha hülyén használja az ember, akkor nem privilegizált felhasználóknak is lehetővé teszik privilegizált műveletek végrehajtását).
    3. A jelenséget és a hibás programozási szokás által nyitott biztonsági rést az MS már az első NT változatok megjelenésekor (cirka egy évtizede) dokumentálta a knowledge base-ben.

    Egyébként valóban az MS is sáros ebben az ügyben, de nem maga a WM_TIMER kapcsán, hanem azzal, hogy ő is készített olyan alkalmazásokat, amelyek a 2. pont szerinti hibás módon lettek fejlesztve. Erről szól az MS02-71 értesítő.

    A RichEdit nem a windows alaprendszer (ablakozo rendszer) resze?

    A hibás RichEdit nem a Windows alaprendszer része, hanem gyakorlatilag minden Windows-on folyamatosan frissített komponens egy hibás változata. Te szerintem nem találsz olyan real-life, rendszeresen frissített és/vagy alkalmazásokkal telepített Windows installációt, ami esetében az a comctl32.dll van a gépen, ami a rendszer telepítő CD-jén is volt. Mondhatnám azt is, hogy a RichEdit hibát is kihúzhatjuk, ha az Apache hibát kihúzzuk azzal a felkiáltással, hogy a stabil változatokat nem érinti, azaz a stabil disztrók telepítő CD-jén nem hibás változat van. Persze ez megint hülyeség lenne, mint ahogy az Apache sebezhetőség kizárása is az ezzel az indokkal.

    (Mint mondjuk az X plusz a GTK linux alatt - apro kulonbseg, hogy X es GTK nelkul tudok gepet telepiteni, RichEdit nelkul meg nem.)

    Ja, csak ilyen alapon a richedit sebezhetőség sem számít, mert hiába van fent a gépen, ha az ember nem nyitogat richedit fájlokat richedit szerkesztőben (tehát pl. Wordben lehet, mert az nem ezt használja), akkor senki az életben nem tudja kihasználni a hibát. Könyörgöm, értsd már meg, hogy annyi kifogást lehet találni minden hiba súlyossága ellen vagy éppen mellett amennyit csak akarsz - ezért nem szabad semmilyen kifogást elfogadni, és kizárni, irrelevánsnak nyilvánítani értesítőket!

    Ja, es az ablakozo rendszer az nem a windows kernel resze? (Regen programoztam mar win-t, de nekem ugy remlik, hogy igen.)

    Na, jó, én megyek aludni...
    Mutasd a teljes hozzászólást!
  • Szerinted a vindózos patcheknél nem írják le, hogy mi a hiba, hogyan lehet enyhíteni, és mit javít a hotfix? Ha ennyire nem vagy képbe, akkor inkább hallgass...
    Mutasd a teljes hozzászólást!
  • Sőt majdnem mindig.. régen éjjel / nappal a prog.hu -t böngésztem, mert reális cikkeket közölt.. mostanában hetente egyszer idetévedek olyan hírrel nyitsz, hogy: / nem mert nem érek rá, egyszerűen hányingerem van attól, hogy minden nap egy: /

    Ja, csak azt felejted el, hogy ugyanolyan mennyiségben megjelennek ugyanilyen hírek a másik oldalról is (pl. Windows-sebezhetőségek, MS elleni perek, vitatható üzleti praktikák, valamint a Linuxot úgymond pozitív színben feltüntető hírek). Tudod, ezt hívják pártatlan tájékoztatásnak. Azt, amit meg a rendszeres fröcsögők szeretnének elérni, és ami a jelek szerinted a te véleményed szerint is ideális lenne (hogy ti. nem írjuk meg mindennek a hibáit, csak az MS-ét, a Windows-ét, és akkor is gyanúsítsuk meg őket kémkedéssel, lopással, stb. amikor nincs is semmi bizonyítékunk erre), na, azt hívják elvakultságnak.

    (Jelen esetben a Debian -ra célzok) sokkal több ,bug' -ját közli, mint az m$ a hibáinak számát...

    És te ezt el is hiszed? MS értesítőből _mindegyiket_ (érted? kivétel nélkül!) megírom, Linux esetén meg csak ritkán, a legsúlyosabbakat és csak az olyanokat, amik valami elterjedt szoftvert érintenek (kernel, OpenSSH, Apache, stb.) De ha mindegyikét megírnám (a linuxosok közül), akkor sem tudnék inkorrekt lenni ha közben az összes MS-értesítőt megírom, nemde?

    Ha szerinted nem írom meg MS értesítőből az összeset, akkor kérlek nevezd meg a sorszámát azoknak az elmúlt mondjuk fél évben kiadott értesítőknek, amit nem írtam meg! Kíváncsian várom a listát.

    Egyébként meg ezek után nem tudok a véleményedre adni. Te
    - vagy nem olvasod ezt az oldalt rendszeresen,
    - vagy baj van a látásoddal,
    - vagy szándékosan állítasz valótlant.
    Nem tudom melyik az igaz, de nem is érdekel a továbbiakban.

    Ja, egyébként a MS a Service Packekhez részletes listát mellékel, hogy azok milyen hibát javítanak. Csak hát itt is ismerni kellene azt amíről írsz...
    Mutasd a teljes hozzászólást!
  • Na.. Üdv mindenkinek!
    Nem akarok nagyon tiszteletlen lenni, ugyhogy csak módjával irom.. Sting.. néha elég fura cikkeid vannak:)
    Sőt majdnem mindig.. régen éjjel / nappal a prog.hu -t böngésztem, mert reális cikkeket közölt.. mostanában hetente egyszer idetévedek olyan hírrel nyitsz, hogy: / nem mert nem érek rá, egyszerűen hányingerem van attól, hogy minden nap egy: / ,A Linux rossz [azért nem az 'ürülék' szót használtam, mert a cenzúrázótok kilőtte még csillaggal is:) gratula ehhez az egy dologhoz:)], az M$ a király' kb ilyen szinten. Csak mivel meg akarsz élni valamiből ilyen nyiltan még te sem mondod ki..

    Erről azt gondolom -lehet nincs igazam, elvégre még nem érek fel a Te szintedre - hogy a Linux esetében (Jelen esetben a Debian -ra célzok) sokkal több ,bug' -ját közli, mint az m$ a hibáinak számát... Az XP -s hibák számával meg tökéletesen nem értek egyet, mivel elérték, hogy az XP magát frissíti. Ergo, akár mekkora hibát találnak, beleteszik egy ServicePack -ba, és a felhasználó XP-je már fel is telepíti. Erről ez a véleményem.. Míg például megnézel egy Mandrake -t (azért ezt hozom példának, mert nekem ez nyerte el a tetszésemet -mondtam gyenge vagyok még-) ott levan írva milyen csomagot frissítessz.. sőt az is, hogy miért (!)..

    Na nem akarom tovább húzni az időt.. Már régóta írni akartam, csak közben elment a kedvem...
    Üdvözlet : mrbay
    Mutasd a teljes hozzászólást!
  • 3., Az apache 2.0.x koztudottan nem kiforrott meg, sokan tanacsoljak, hogy ne hasznald, az 1.3 kepest kifejezetten kevesen hasznaljak (az a legelterjedtebb - probaltam a netcraft-tol elobanyaszni adatokat, de nem sikerult).


    Ha jol tudom 1-2% / 98-99% koruli az arany az 1.3 javara, de ez - foleg a Windows-os installok miatt - tolodik el a 2.x fele.

    2., Apache-t sem szoktak folyton frissitgetni (nem DirectX ez, hogy minden jatek a legujabbat akarja belole), ninsc ra okod (leszamitva a biztonsagi hibakat).


    Mivel az 1.x-nel az uj verziok gyakorlatilag csak hibajavitasokat tartalmaznak, ergo frissites ~= foltozgatas.

    netchan
    Mutasd a teljes hozzászólást!
  • Igaz, hogy ennek ellenére ezen gépek jelentős részén DX9 van (mint ahogy Apache-ból is mindenki helyből frissít), de hát.... jó kifogás sose rossz a Linux mentegetésére...


    Hihi, hat itt melle tetszett loni.

    1., Debian eseteben az ember nagyon ritkan rak fel a stabil rendszeren kivuli programokat (foleg, ha szervert hasznal), mert azokhoz nem garantalt a biztonsagi frissites. (Ezenkivul maceras is, mert ujra kell forditani, a nem stabil Deb csomagja a fuggosegek miatt nem telepul a stabil rendszerre.)

    2., Apache-t sem szoktak folyton frissitgetni (nem DirectX ez, hogy minden jatek a legujabbat akarja belole), ninsc ra okod (leszamitva a biztonsagi hibakat).

    3., Az apache 2.0.x koztudottan nem kiforrott meg, sokan tanacsoljak, hogy ne hasznald, az 1.3 kepest kifejezetten kevesen hasznaljak (az a legelterjedtebb - probaltam a netcraft-tol elobanyaszni adatokat, de nem sikerult).
    Mutasd a teljes hozzászólást!
  • Sorry, pedig amikor elkezdtem a mondatot fogalmazni, akkor meg a fejemben volt, hogy megnezem :), de aztan - husss... :)
    Mutasd a teljes hozzászólást!
  • Azt meg, hogy a local root exploit bagatell a Debian és GNU fejlesztőknek magyarázd, akiknek összesen majdnem fél tucat központi szerverét törték fel ilyen exploit segítségével múlt év vége felé!


    Nyilvan nem magyarazok ilyet. A huba, az huba - nem kerdes. Ezt is tobbszor leirtam, csak, hogy ne kelljan majd arra valaszolnom, hogy miert nem gondolom, hogy a local root exploit az rossz dolog.

    Az viszont nem kerdes, hogy mas a kockazati szintje, mint egy remote exploit-nak. Aztan meg, en inkabb csak arra hivtam fel e figyelmedet, hogy a jatekok, pdf olvaso, stb. hibaja nem olyan kritikus. Igazad van - megfeledkeztem rola, hogy nem vagy egy rutinos linux/unix user (ez nem flame!), ezert most teszem hozza, hogy ilyen programokat az ember root jogokkal (root-kent bejelentkezve) nem futtat. Soha (pont ezert nem).

    Ezek tehat lokalis sebezhetoseget jelentenek, de 'csak' arrol van szo, hogy a futtato felhasznalo neveben tudsz garazdalkodni. Pl. egy jol megformazott buffer overrun tamadassal az xpdf eseteben letorolheted a futtato felhasznalo altal elert fileo-kat. De normalis ember nem futtat xpdf-et root jogokkal.

    Nyilvan ez is rossz dolog (a hajamat tepnem), de sokkal veszelyesebb egy local root exploit (amihez olyan programban kell hiba, ami a root neveben fut, vagy a kernelben), es meg veszelyesebb egy tavolrol kihasznalhato hiba.


    Nem mintha a Windows-os statisztikákban nem szerepelnének local exploitok ugyanúgy, pl. WM_TIMER, RichEdit, fontok kezelésében lévő bug, stb....


    Nem az exploitokrol beszelek meg mindig, hanem a statisztika alapjaul szolgalo szoftverek mennyisegerol. A WM_TIMER cuccos, az nem kernel hiba? (Nem ismerem a konkret hibat.) A RichEdit nem a windows alaprendszer (ablakozo rendszer) resze? (Mint mondjuk az X plusz a GTK linux alatt - apro kulonbseg, hogy X es GTK nelkul tudok gepet telepiteni, RichEdit nelkul meg nem.) Ja, es az ablakozo rendszer az nem a windows kernel resze? (Regen programoztam mar win-t, de nekem ugy remlik, hogy igen.)
    Mutasd a teljes hozzászólást!
  • A debian stabil jelenleg 1.3.26-0woody3 verzioju apache csomagot tartalmaz, aminek a changelog bejegyzese a kovetkezo:

    apache (1.3.26-0woody3) stable-security; urgency=medium

    ...

    -- Martin Schulze <joey@infodrom.org> Sat, 26 Oct 2002 09:48:11 +0200


    Azt hiszem ez eleg donto a kerdesre nezve.

    Mutasd a teljes hozzászólást!
  • Azt, hogy az OO a Debian disztrib része -e, vagy sem nem tudom, mert nem szoktam minden másnap felrakni (utoljára szeptemberben telepítettem egy


    Nezd, az MS office dolgot nem en irtam, de a nekem irt valaszodban hoztad fel azt, hogy az OO hibai nincsenek benne a Deb listaban. Nyulvany, mert nem resze a disztronak. Csak ennyi. Nem kertem szamon rajtad, hogy miert nem tudod.

    Ennek pedig semmi köze nincs ahhoz, hogy a Debian disztró CD-knek részét képezi -e az OpenOffice csomag vagy sem.

    Annyiban van koze hozza, hogy a Secunia hibalistajat vegignezve az osszes Debianos (Debian altal kiadott) biztonsagi figyelmezteto szerepel benne. A Debian minden olyan csomaghoz kiad biztonsagi figyelmeztetot, ami a disztribucio resze (a non-free csomagokhoz nem, de azok hivatalosan nem a disztribucio reszei).

    Namost en itt a Secunia-as cikk modszertanat vitattam, es ebbol a szempontbol lenyeges, hogy valami miert nincs benne. Megegyszer: minden Debianos biztonsagi figyelmezteto szerepel a hibalistajukban, nem valogattak at, hogy "na ez az Apache hibaja, azt ugyis kulon listaban osszegezzuk, hopp, ez az xOffice, ezt majd az Office csomagok tablazataban szamoljuk," stb.

    Apache figyelmeztetest iden a Debian nem adott ki (-> nem volt olyan apache hiba, ami a debiant erintette).
    Ez egyrészt nem igaz (egyébként is: az Apache sebezhetőségek általában miért ne érintenék a Debiant?). Itt van pl. egy: Vulnerability Note VU#206537 - Apache vulnerable to DoS (Apache vulnerable to DoS, Debian Vulnerable 8-Apr-2003).


    Azert, mert esetleg mas verzio van benne, mint amire a sebezhetoseg vonatkozik: a Debian stable jelenleg 1.3.27-es Apache-t tartalmaz. Ezt is leirtam mar, rogton a fent idezett allitas utan, ha jol emlekszem, hogy ne kelljen visszakerdezned.

    Megneztem a linkedet: apache 2.0.x-re vonatkozik. Az oldalon "Debian Vulnerable" kifejezesbol a "Debian" szo egy link. Ha rakattintasz a kovetkezot lathatod:

    "Vendor Statement
    Neither the stable nor the old stable distributions are affected by this problem. Apache 2 is only part of the unstable distribution and version 2.0.45-2 has been uploaded including the fix. Any package with a version of 2.0.45-2 or higher are fixed."

    Vagyis: sem a stabil (3.0) sem az elozo stabil (2.2) disztrot nem erinti a problema, az Apache 2 csak a fejlesztoi (nem stabil, unstable) disztribucio resze, es ott ki is lett javitva a dolog.

    Másrészt pont TE voltál az aki két hozzászólással előtt még azt bizonygattad, hogy "a 186 hibaban amit a Debian bejelentett, az osszes olyan hiba benne van, ami a ditribucio reszet kepezo csomagokat erinti. Igen, az Apache hibai is".


    Nezd, pontosan tudom, hogy mit mondtam, sot azt is, hogy ez mit jelent. Azt nem tudom, hogy veled hogy ertessem meg. Ket allitasom volt:
    1., A Secuncia hibalistaja tartalmazza az OSSZES Debian altal kiadott biztonsagi figyelmeztetest.
    2., A Debian minden olyan esetben kiad egy biztonsagi figyelmeztetest (es javitast), amikor a disztribucio reszet kepezo szoftverekben hibat talalnak.

    Ennek hol mondtam ellent? Ja, azt irtam, hogy az Apache hibait is tartalmazza a lista - be kell vallanom, akkor meg nem neztem vegig a Debian fele hibalistat, hogy nem szerepel benne apache hiba (de ez azt jelenti, hogy nem volt olyan hiba, ami a Debian apache valtozatat erintette!). Amikor van ilyen, akkor benne van, tehat az allitasom tovabbra is helyes: az apache is szerepel benne 0 hibaval (->ha lenne hiba bele kerulne, ILYEN A MODSZER). Vagy most azt jatszuk, a Secunia statisztikaja csak azt a 100-150 szoftvert tartalmazza (mino veletlen) amiben hiba volt? Ha az Apache-ban adott evben nem volt hiba, akkor ramondjuk, hogy nem is szerepel a statisztikaban?

    2002-ben volt, es lass csodat: az altalad adott linken is talaltam Debian GNU/Linux 3.0 - Secunia
    apache sebezhetoseget 2002-re.

    2002 senkit nem érdekel, mert 2003-ról volt szó a cikkben, és itt a fórumban is.


    Jajj, dehogynem! Felteszem a modszer, amivel a Secunia cikke keszult azonos volt a ket evben. Ezzel csak azt akartam alatamasztani, hogy ha van Deb specifikus apache hiba, akkor az benne van a statisztikaban. Pont. Marpedig ugye szamit, hogy hany szoftver van a statisztikaban, mert minel tobb, annal nagyobb a hibak varhato szama. (Kiveve a fent emlitett esetet, ha utolag ramondjuk, hogy amelyik sw-ben nem volt hiba, az nem szerepelt a statisztikaban. LOL)
    Mutasd a teljes hozzászólást!
  • A Debian hivatalosan csak a stabil kiadáshoz ad ki javításokat. Ha lecserélsz valamit egy másik verzióra, akkor az értelemszerűen nem támogatott.
    A biztonsági FAQ-ban olvashatsz a policy-ról.

    Itt arról van szó, hogy a sebezhetőség, amire a linket adtad, nem volt benne a hivatalos Debianban stable kiadásban, mert az egy régebbi verziójú Apache-ot futtat. Ami pedig nincs, azt se lokálisan, se távolról nem lehet kihasználni.
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd