The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от opennews (??), 22-Авг-18, 21:01 
В пакетном менеджере APT выявлена (https://mirror.fail/) уязвимость (https://bugs.launchpad.net/ubuntu/%2Bsource/apt/%2...) (CVE-2018-0501 (https://security-tracker.debian.org/tracker/CVE-2018-0501)) в реализации метода "mirror://", позволяющая обойти проверку пакета по цифровой подписи. При использования конфигурации с зеркалами (протокол mirror:// в sources.list) атакующий, контролирующий трафик (MiTM), может спровоцировать ситуацию в которой проверка подписи файла InRelease производится некорректно, что может использоваться для подмены содержимого пакетов. Проблема проявляется в ветках 1.6.x и 1.7.x и устранена в выпусках 1.6.3ubuntu0.1, 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-0501) и Ubuntu (https://usn.ubuntu.com/3746-1/).

URL: https://mirror.fail/
Новость: https://www.opennet.dev/opennews/art.shtml?num=49168

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Аноняшка (?), 22-Авг-18, 21:11 
sudo grep -Hir "mirror" /etc/apt
это поможет?
вроде пусто
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (3), 22-Авг-18, 21:44 
> протокол mirror:// в sources.list

А как этим пользоваться? В первый раз о нём слышу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (4), 22-Авг-18, 21:49 
вот-вот, я тоже ни разу этим функционалом не пользовался %/
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (7), 22-Авг-18, 22:06 
На ваше счастье дефолтную конфигурацию не пробирает, только тех немногих кто почитал описание и настроил.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

62. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Sunch (?), 25-Авг-18, 09:17 
Читать доки - вредно!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноняшка (?), 22-Авг-18, 21:59 
Главный вопрос; а каким скриптиком / батником /экзэшником проверить теперь свои /usr/bin/*, на соответствие цифровым подписям в репозитории? Так, на всякий случай...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +3 +/
Сообщение от Аноним (7), 22-Авг-18, 22:05 
Debsums? Не совсем подписи, но все же. Однако проверять что либо на системе которую могли расхакать - занятие кривое. Что-то такое надо делать из доверяемой системы.

Тем не менее, конфигурация с mirror:// - достаточно экзотичная штука, по умолчанию оно не используется.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноняшка (?), 22-Авг-18, 22:14 
Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей,
DESCRIPTION
       Verify  installed  Debian package files against MD5 checksum lists from
       /var/lib/dpkg/info/*.md5sums.
А мне бы сравнить с репозиторием...
Кстати, почему http://, почему не https:// у apt-get?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (4), 23-Авг-18, 00:21 
Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях APT, использовать SSL/TLS - дикий перегиб.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +2 +/
Сообщение от JL2001 (ok), 23-Авг-18, 09:22 
> Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях
> APT, использовать SSL/TLS - дикий перегиб.

это пока к вам не придут с распечаткой что вы с того сервера качали nmap и прочие уголовно наказуемые хакерские штучки

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (-), 23-Авг-18, 17:01 
Ну тогда вообще apt-transport-tor поставить - атакующие даже не поймут что это дебиан был, а не федора какая-нибудь например. Пусть ломают наобум как нечто неизвестное.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

51. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от ЕкарныйБабай (?), 24-Авг-18, 16:23 
В Fedora тоже можно настроить связку dnf с tor.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

58. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Аноним (-), 24-Авг-18, 21:14 
У дебиана есть официальный onion с пакетами, если что. Установив apt-transport-tor и заменив в sources.list адреса и протокол репов на tor, можно оставить атакующих изучающих что и как с носом. Врядли федора настолько же продвинута и дружелюбна к пользователям, это всего лишь тестовый полигон редхата. Чем-то таким сообщество и корпорасы и отличаются. Сообщество печется не только о корпоративных интересах.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

41. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Вопрошающий (?), 23-Авг-18, 19:56 
Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

44. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от JL2001 (ok), 24-Авг-18, 02:26 
> Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?

сервера не обязаны находиться в той же стране (даже если эта страна за великим фаерволом)
а ещё степень вины определяет суд, как известно - самый справедливый суд в мире (пиратбей не даст соврать)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

32. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (-), 23-Авг-18, 16:59 
> Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей,

Вы и подписи будете на локальном компьютере проверять, относительно локального хранилища ключей небось? И в чем разница? Если хочется не того - в любом случае придется как-то хитро повозиться, сформировав потребное окружение в чистой неуязвимой оси, в которой перегрузить все данные с перепроверкой.

> Кстати, почему http://, почему не https:// у apt-get?

Есть apt-transport-https - можно поставить его и пользуйтесь https'ом. А так - проверка подписей и без https работает, то что https и его либы менее дырявы - не факт. Так что оно имеет смысл лишь при каких-то специальных соображениях.

Есть даже apt-transport-tor - так атакующие вообще не будут знать что и куда. Это усложнит им идентификацию типа системы, атаковать хост будет сложнее.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

8. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –20 +/
Сообщение от EuPhobos (ok), 22-Авг-18, 22:07 
debootstrap+rsync/md5sum
А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +11 +/
Сообщение от Парам (?), 22-Авг-18, 22:08 
>А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.

Обалденный совет, как раз заслуживает дислайка.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (18), 22-Авг-18, 23:57 
Совет многолетнего мамкиного распидяя.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

37. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Аноним (-), 23-Авг-18, 17:12 
> А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что
> бы быть в курсе что поменялось.

Можно и иные варианты придумать, достаточно неожиданные и неудобные для хакеров. Например слать дельту btrfs send'ом на отдельную машину и там изучать себе файлуху. Можно налепить снапшотиков с версиями и сравнивать их между собой чем там кому удобно. При том на ремотной машине, на которой софт крутится заведомо не хакерский.

А креативно запатчить именно данные в именно файлухе, чтобы лабеан вышел даже с btrfs send и ремотной ФС, зеркалящей местную но не использующую систему оттуда - теоретически так наверное можно а практически хакер загнется такого монстра кодить и почти наверняка срежется на corner cases.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –5 +/
Сообщение от Кат (?), 22-Авг-18, 22:07 
Буква S в слове Linux означает Security.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от A.Stahl (ok), 22-Авг-18, 22:12 
Нет, она означает Reißschiene.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Фуррь (ok), 22-Авг-18, 22:18 
>Reißschiene

Просто мимо проходил - что это за слово? Сколько учу, пока не встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то муть.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Лёшка (?), 22-Авг-18, 22:24 
Гуглить не пробовал?

https://ru.m.wikipedia.org/wiki/Рейсшина

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Фуррь (ok), 22-Авг-18, 22:29 
>Гуглить не пробовал?

Это не по-спортивному.
Благодарю :3

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +2 +/
Сообщение от тот самый Аноним (?), 22-Авг-18, 23:51 
>>Reißschiene
> Просто мимо проходил - что это за слово? Сколько учу, пока не
> встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то
> муть.

Не, ну по составным разбить можно:
Reiß - составное: срывать, вырывать, выдергивать, раздирать
Schiene - рельс, лубок, шина (электр), направляющая (планка)
но догадаться о том, что это такая чертежная линейку, будет сложно ))

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Отражение луны (ok), 23-Авг-18, 04:01 
Из того, что есть на рынке - самое секьюрное. Абсолютная безопасность - миф, вера в который делает ситуацию еще хуже. Не советую.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –4 +/
Сообщение от Скат (?), 23-Авг-18, 05:34 
Если нужна секурность используют флатпаки. В apt разработчики дистрибутива или кто их взломал могут подсунуть малварь и нужны права рута для установки.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от ЕкарныйБабай (?), 23-Авг-18, 06:22 
Ну засунь во flatpak postgresql, exim/postfix, docker/kvm. После этого нам об успехе расскажи)

Ты хоть почитай Алекса (разработчик flatpak) для чего он его разработал, какова его сфера применения.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от linvinus (?), 23-Авг-18, 09:53 
может кому ещё интересно будет https://flatpak.org/faq/

Is Flatpak a container technology?

It can be, but it doesn’t have to be. Since a desktop application would require quite extensive changes in order to be usable when run inside a container you will likely see Flatpak mostly deployed as a convenient library bundling technology early on, with the sandboxing or containerization being phased in over time for most applications. In general though we try to avoid using the term container when speaking about Flatpak as it tends to cause comparisons with Docker and rkt, comparisons which quickly stop making technical sense due to the very different problem spaces these technologies try to address. And thus we prefer using the term sandboxing.


Can Flatpak be used on servers too?

Flatpak is designed to run inside a desktop session and relies on certain session services, such as a D-Bus session bus and, optionally, a systemd --user instance. This makes Flatpak not a good match for a server.

However, the build features of Flatpak run fine outside a session, so you can build things on a server.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от ЕкарныйБабай (?), 23-Авг-18, 10:02 
Я об этом и говорю, что flatpak не панацея от вирусов, так как есть вероятность поймать заразу при установке софта, которая может сидеть где угодно (ядро, сетевые службы и т.д.).

Мысль пользователя Скат, а именно заменить apt на flatpak для обеспечения безопасности бесперспективна, так как последний не покрывает все приложения.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +4 +/
Сообщение от Аноним (-), 23-Авг-18, 17:07 
> Мысль пользователя Скат, а именно заменить apt на flatpak для обеспечения безопасности
> бесперспективна, так как последний не покрывает все приложения.

Более того она вредна, поскольку заменяет майнтайнеров с конкретными политиками безопасности на раздолбай-разработчиков приложений которые припрут сотни версий либ которые никто не майнтайнит, но в которых постепенно найдутся дыры. По уровню безопасности - станет как в маздае. Потому что система набита непатчеными либами под завязку и хакерью остается только долбануть это эксплойтом.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

46. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Отражение луны (ok), 24-Авг-18, 03:55 
В твоей логике есть проблема. Все дело в том, что мейнтеры понятия не имеют, как работает код пакетов, и максимум что они могут сделать - добавить дыр и косяков в собранный пакет или забекпортить уже сделанный разрабами фикс. В лучшем случае мейнтер читает документацию и импортит пакет в более-менее первозданном виде, постоянно обновляя его. Вот только большинство пакетов уже давно заброшены, и уязвимы против того же spectre.
Удачи в твоих грезах)
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от ЕкарныйБабай (?), 24-Авг-18, 05:16 
Связанных с процессором уязвимости решаются патчами ядра и обновлением микрокода, но не отдельных программ типа libreoffice, gimp и т.д.

Что касается сопровождающих пакетов, то отчасти я соглашусь с тобой. Разработчик программы лучше знает свой код чем сопровождающих пакета. Зачастую разработчик не хочет разбираться в 100500 разных дистрибутивах/архитектур вот тут и приходит ему на помощь сопровождающий/мейнтрейнер, который берет на себя обязанность адаптировать программу для работы на нужном дистрибутиве/архитектуре.

Чтобы убрать звено в виде мейнтрейнер из последовательности "разработчик программы - дистрибутив", нужно разработать общий формат пакетов для всех дистрибутивов, дистрибутивы должны чётко соблюдали стандарты по файловой системе и т.д. Решения по стандартам должны приниматься коллективно, всеми основными разработчиками дистрибутивов, но этого никогда не произойдёт. Взгляните любые стандарты в мире линя и вы увидите явный перегиб в сторону стандартов, которые проталкивает одна компания (ну мы то знаем какая), которая, кстати, сама в ближайший год собирается эти стандарты нарушить (привет silverblue, fhs, lsb с его rpm).

В дополнение по поводу безопасности flatpak. Аудит никто не проводил, поэтому говорить о его безопасности не приходится. Посмотрите на  Docker, который трясут и так и этак, с его безопасностью не все гладко, да и выход за приделы виртуальных машин из-за уязвимостей никто не отменял.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Отражение луны (ok), 24-Авг-18, 16:21 
Есть как минимум ряд уязвимостей, который решается обновлением компилятора, включением флага и пересборкой.
Было бы, конечно, здорово, если бы комьюнити смогло объединится для поддержки одного адекватно работающего дистрибутива (потому что единые стандарты по факту убивают смысл пилить разные дистры), вместо сотни тех, в которых работоспособность фичи/пакета/де зависит исключительно от того, насколько тебе повезло с релизом (хотя вот гном крив и убог стабильно последние года 3). Может быть тогда бы и флетпаки со снапами не понадобились, ибо пушилось бы все в стандартные репы, рук бы хватало. Но увы.
На тему флетпаков не согласен. Большинство этих пакетов так же были собраны мейнтерами, некоторые из них пересобирались из официальных deb-ов. Так что эквивалентно.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

55. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от Аноним (55), 24-Авг-18, 20:30 
> Есть как минимум ряд уязвимостей, который решается обновлением компилятора, включением
> флага и пересборкой.

Однако если резко пересобрать всю систему от и до - есть вероятность, что в компилере окажется например новый баг. И что-то после этого все-таки сдохнет/отвалится/сглючит. Поэтому у дебиана есть некие политики. Временами они работают хорошо, временами так себе. Но они есть, народ использующий дебиан ожидает именно это и их устраивает. Им заведомо работающий продакшн может быть важнее фикса трудно эксплуатируемой уязвимости котрая в их конфигурации может и не представлять проблемы как таковая, например.

> Было бы, конечно, здорово, если бы комьюнити смогло объединится для поддержки одного
> адекватно работающего дистрибутива (потому что единые стандарты по факту убивают смысл
> пилить разные дистры),

А еще можно всех в концлагерь загнать, втулить единый распорядок дня, одинаковую униформу, все дела. Только нафиг надо. Кто хотел именно это - валит в десятку, там и виндостор есть, и кейлоггер, и подписи дров и DRM "для вашей безопасности". В общем прототип цифрового лагеря с надзирателями неплохо прорисовывается.

> и флетпаки со снапами не понадобились, ибо пушилось бы все в
> стандартные репы, рук бы хватало. Но увы.

Знаешь, с такой логикой лучше пользоваться десяткой с виндостором. А мне твои единые политики на все случаи жизни не сильно упали, потому что случаи разные бывают. И мысль о том что единый стандарт будет формироваться с учетом моих интересов и всегда прилунится на мою голову наилучшим образом - ниоткуда не следует. Более того, как показал H.264 и особенно H.265, стандартизаторы могут случайно заняться обслуживанием интересов каких-нибудь патентных троллей в ущерб вообще всем остальным и тому как это работает. Так что цать лет спустя после того как в ишаке появился <video> у нас все еще проблемы с тем чтобы выложить мувик в каком-то стандартном формате в вебе и чтоб у всех игралось. Хоть это и именно то место где нам нужен какой-то единый формат для обмена информацией.

> На тему флетпаков не согласен. Большинство этих пакетов так же были собраны
> мейнтерами, некоторые из них пересобирались из официальных deb-ов. Так что эквивалентно.

Какие политики и где закрепляют стандарты содержания пактов этого барахла? В дебиане пакет или соответствует их политикам, или не попадает в репы. Это очень эффективно избавляет от г@вна и раздолбайства. Хоть иногда и ценой ампутации конечности, если стало понятно что там гангрена. А насколько это факт в флэтпаке - хз, поэтому всегда остаетяс шанс что гангренозное нечто утянет за собой всю остальную тушку системы.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

59. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Отражение луны (ok), 24-Авг-18, 23:14 
Мне без разницы на твои детские максималистичные выпады. 10ка работает хреново. Мак неудобен. Линукс раньше был хорош, теперь все к чертям поломали, и мне обидно, что не осталось ни одной нормальной ОС для десктопа.
Мне без разницы какой идеологии кто будет придерживаться при разработке. Я просто хочу получить в пользование одну нормальную систему. Но вместо этого мы имеем десятки тысяч неработающих дистрибутивов. Уж лучше бы, действительно, в лагеря согнали.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

63. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от пох (?), 25-Авг-18, 17:00 
вы в зеркало-то пробовали смотреться? Или так, отражаетесь?
Вам - аргументы. Вы в ответ - свои детские комплексы "10ка работает хреново".

> Мне без разницы какой идеологии кто будет придерживаться при разработке

1.
> Я просто хочу получить в пользование одну нормальную систему

2.
логика, ты где?

> Но вместо этого мы имеем десятки тысяч неработающих дистрибутивов.

А мужики-то и не знают!

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

54. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Аноним (-), 24-Авг-18, 20:18 
> В твоей логике есть проблема. Все дело в том, что мейнтеры понятия
> не имеют, как работает код пакетов, и максимум что они могут
> сделать - добавить дыр и косяков в собранный пакет или забекпортить
> уже сделанный разрабами фикс.

Нет, дружок, я еще и ченджлоги к пакетам читаю. И поэтому получше тебя представляю себе возможности майнтайнеров, так что втереть мне очки - не получится, увы. И в именно дебиане достаточно народа для того, чтобы майнтенансом обычно занимался кто-то имеющий интерес к тому чем он занимается и поэтому более-менее разбирающийся в этом. Обломы конечно же бывают, как с openssl, но там вышел сбой совместной игры с разработчиками openssl, подтвердившим по запаре безопасность изменений. Разработчики openssl и сами по себе довольно посредственны в крипто и секурити, если что.

Ты наверное попутал с альтлинуксом, где на одном шигорине полсотни пакетов, и зная его програмерские умения - да, вот там я усомнюсь что он в коде ffmpeg хоть что-то смыслит. А хотя-бы потому что никогда не видел его кода на си и не уверен что он на этом вообще шпрехает.

> В лучшем случае мейнтер читает документацию и импортит пакет в более-менее
> первозданном виде, постоянно обновляя его.

Кто сказал такую глупость? У дебиана толпа патчей на пакеты относительно апстрима. Кроме всего прочего они реализуют и политики относительно поведения софта, секурити, свобод и всего такого. По возможности их уталкивают в апстрим, чтобы но успех этого начинания варьируется. Ну то-есть гуглу и мозилле например не засабмитишь патчи избавляющие браузер от троянского г@вна, потому что апстрим ХОЧЕТ трояны пользователю пхать. А дебиан - не хочет это своим пользователям отгружать. И соответственно отпатчивает. И в зависимости от программы diff'ов может быть и довольно изрядно. Так что назвать дебиан ванилькой можно только с перепоя или от своего ламерства. Насчет первого не уверен, а вот второе - да, ты видный ламак, мнение которого в безопасности учитывать я бы не рекомендовал, во избежание.

> Вот только большинство пакетов уже давно заброшены, и уязвимы против того же spectre.

Да вообще-то дебианщики в testing пересобрали хренову кучу всего распоследним релизнутым gcc. А то что все это не вывалено мигом на бошки юзеров стабилизца - политика партии такая. Не превращают они продакшн в тестовых кроликов для экстренного испытания экспериментальных вакцин. Даже если это приносит какие-то свои компромиссы, оно вот так. Кому это не нравится - использует что-то отличное от Debian Stable, наверное.

> Удачи в твоих грезах)

Я то как раз неплохо понимаю кто, что и почему и не питаю иллюзий. Вместо этого стараюсь реалистично оценивать разблюдовку сил, компромиссы и карту местности. И соответственно в зависимости от того что хочется получить и приоритетов и танцуем. Спектр - ну да, плохо. А заваленый продакшн с юзерами - еще хуже. Спектр требует выполнения кода атакующего на той же машине. Это атакующему доступно не всегда и не везде, поэтому резко рушить продакшн для защиты от спектра может и не быть хорошей идеей, если там не было атакующих которые код могут выполнять. Не говоря о том что спектр довольно геморный и глючный в эксплуатации, поэтому реальный threat level - умеренный.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

64. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от пох (?), 25-Авг-18, 17:05 
> Нет, дружок, я еще и ченджлоги к пакетам читаю.

прям ко всем?
Ну прочитайте их ченджлог к ядру и к glibc, потом возвращайтесь, поумневшим.

> Ты наверное попутал с альтлинуксом

в альтлинуксе никогда не было такого позорища как CVE-2008-0166

> Ну то-есть гуглу и мозилле например не засабмитишь патчи избавляющие браузер от троянского
> г@вна, потому что апстрим ХОЧЕТ трояны пользователю пхать. А дебиан - не хочет это своим
> пользователям отгружать. И соответственно отпатчивает.

вы вот этот бред сейчас - всерьез ведь, да?

ченджлоги к пакетам он читает... чувак, на пакете с травой нет ченджлога, не кури больше такую!

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

34. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +2 +/
Сообщение от Аноним (-), 23-Авг-18, 17:05 
> Если нужна секурность используют флатпаки.

Не, не так. Кто хочет засрать линух до состояния винды, с сотнями не поддерживаемых майнтайнерами версий либ с дырами - использует флатпаки. И получает у себя пародию на маздай, когда каждая программа прет либы с собой и за дыры в этих либах потом никто не отвечает. Потому что если у майнтайнеров есть четкая политика насчет патчинга дыр, то политика разработчиков приложений чаще всего сводится к "забить болт на все и вся".

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

43. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от дядя Аноним (?), 24-Авг-18, 00:44 
Это скорее похоже на Android чем на винду. Винда просит много зависимостей и программы не изолированы. Здесь же программы не имеют доступа к системе и дырявые либы ничего тебе не сделают.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

45. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Аноним (-), 24-Авг-18, 03:14 
> Это скорее похоже на Android чем на винду.

Да один фиг по большому счету.

> Винда просит много зависимостей и программы не изолированы.
> Здесь же программы не имеют доступа к системе и дырявые либы ничего тебе не сделают.

Где это сказано? А то вон там в цитате сказано что флатпак не есть средство изоляции как таковое. И в том же андроиде программы между прочим разводят форменную проституцию и делают множество гадостей, если уж на то пошло. Поэтому я позволю себе не поверить в "ничего тебе не сделают". Особенно в случае горе-экспертов соверующих такие средства для "безопасности". Напоминает одного персонажа от BSD, у которого вирусы кишили но видите ли не срабатывали потому что ожидали Linux а там BSD. Нахрен такой подход к безопасности. Если вражеский код выполняется  - у нас проблемы. А если это нативный код - проблем выше крыши.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от Отражение луны (ok), 24-Авг-18, 04:02 
Не один фиг. Андроид секьюрен настолько, насколько это в принципе возможно.
Аналогия абсолютно неправильная. Сендбоксинг тем и хорош, что приложение не может сделать больше того, что ты ему разршаешь. Потому что на каждую раскрытую уязвимость найдутся сотни нераскрытых, и довольно глупо и наивно думать, что последние версии библиотек всегда защищены от всех известных угроз. Разрешил доступ к файлам за пределами определенного каталога - будь готов к тому, что твои данные сопрут. Так что стандартные apt и прочие пакетные менеджеры так же дырявы, как твоя псинка.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

56. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (56), 24-Авг-18, 20:49 
> Не один фиг. Андроид секьюрен настолько, насколько это в принципе возможно.

Однако как работает дебиан нравится мне гораздо больше. В дебиане я ощущаю себя гораздо безопаснее. Вот такой парадокс: андроид помойка с малварью, нормальную программу вообще не найдешь, а в дебиановских репах довольно трудно найти программу с малварным поведением. Так что теория - одно, а практика - вообще совсем другое.

Ну как, в андроиде сцаная вьюшка картинок норовит зачем-то GPS-тэги фоток угробить/перезаписать. А в дебиане - софт который так оборзеет или вылетит из репов, или будет отпатчен майнтайнерами.

> Аналогия абсолютно неправильная. Сендбоксинг тем и хорош, что приложение не может сделать
> больше того, что ты ему разршаешь.

Сами по себе контейнеры - идея неплохая. Но вот идея распихать в контейнеры более-менее доверяемые приложения, которые нормально майнтайнят, вместо враждебных/проблемных/дырявых - нравится мне больше чем сперва создать себе проблемы, потом героически пытаться затыкать это. У ведра проблема в проститутских политиках стора и рассмотрении юзера как дойного лоха. А у дебиана вообще совсем другие политики. И это часть понятия "безопасность". Если в политиках гамно, никакие контейнеры не помогут, как показал пример андроида. Ну да, вы можете не соглашаться с разрешениями, тогда ничего работать не будет а то и вовсе программа не поставится. При том найти программы которые не борзеют - невозможно. В лучшем случае можно задним числом права отобрать, рискуя неизвестными глюками, потому что фиг бы его знает как программа реагирует на внезапные ошибки. С этим у рапидных макак все плохо и программа может просто внезапно упасть или повиснуть.

> Потому что на каждую раскрытую уязвимость найдутся сотни нераскрытых,

А в андроиде так большинство софта даже и не скрывает тот факт что он троянизированное шпионское гамно. А не нравится - не ставь. И будет у тебя лысая система, где даже фоты посмотреть нормально невозможно, потому что встроенный просмотрщик - пц какой-то.

> и довольно глупо и наивно думать, что последние версии библиотек всегда защищены
> от всех известных угроз. Разрешил доступ к файлам за пределами определенного каталога
> - будь готов к тому, что твои данные сопрут.

...поэтому я на самом деле сам изолирую софт, без всяких флэтфаков, которые я в гробу видал. Потому что я подумал "а как бы я это ломал?". И сделал так чтобы это было как можно канительнее и ненадежнее. Как ты думаешь, наивный кид, что ты поимеещь, проломив вот этот браузер, например? :)

> Так что стандартные apt и прочие пакетные менеджеры так же дырявы, как твоя псинка.

Я бы не назвал apt сильно дырявым. Чисто исторически-статистически.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

60. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Отражение луны (ok), 24-Авг-18, 23:20 
В отличие от Вас я куда более спокоен на тему записей моих экранов и прочей слежкой внутри самого приложения. Проблема сильно преувеличена и по факту не наносит мне никакого вреда, для меня главное, чтобы приложения не читали данные, которые читать им не следует. Я так же понимаю, что данные моих перемещений и покупок публичны как бы я ни старался их скрыть, за счет камер, свидетелей, оплаты покупок и прочих вещей. Поэтому я просто не разрешаю приложениям доступ к фс, и вполне доволен.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

61. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от Аноним (-), 25-Авг-18, 01:17 
> В отличие от Вас я куда более спокоен на тему записей моих
> экранов и прочей слежкой внутри самого приложения.

Да кому-то и кандалы на ногах не очень мешают, но тогда разглагольствованиям про безопасность - грош цена. Какая у лабораторного хомяка в клетке безопасность? Как максимум у него маленький наивный мозг.

> Проблема сильно преувеличена и по факту не наносит мне никакого вреда,

А вот это - большой вопрос. По крайней мере, пользу вся эта проституция принсит почему-то акционерам, гуглу, рекламодателям, АНБ... а не мне. Так что ну его нафиг.

> для меня главное, чтобы приложения не читали данные, которые читать им не следует.

"Безопасность бывает 2 уровней - high и нехай". Если софт шарится по системе и занимается "проституцией" - он постепенно умыкнет/насобирает и достаточно ценные данные.

> Я так же понимаю, что данные моих перемещений и покупок публичны как бы
> я ни старался их скрыть, за счет камер, свидетелей, оплаты покупок и прочих вещей.

Поэтому давайте повесим на скотинку колоколец и нацепим ошейник с домашним адресом, чипируем и GPS трекер навесить. Ну вот ты и будь коровой в чьем там загоне.

> Поэтому я просто не разрешаю приложениям доступ к фс, и вполне доволен.

С другой стороны, знание твоих типовых маршрутов например - довольно любопытная штука. Кроме этого есть еще и просто нежелательное поведение, когда софт то спамит уведомлениями, то реклама лезет, то в запуск себя добавляет и система тормозит, то еще какое гомно. Малварь как она есть - система живет своей жизнью и держит пользователя за дармовой ресурс.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +/
Сообщение от Аноним (65), 27-Авг-18, 15:21 
> Потому что я подумал "а как бы я это ломал?". И сделал так чтобы это было как можно канительнее и ненадежнее

Какое незамутненное самодовольство …

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

38. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 23-Авг-18, 18:27 
И почему некомпетентные бывают столь уверены... или они потому и некомпетентными не просто становятся, а остаются?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

48. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  –1 +/
Сообщение от Отражение луны (ok), 24-Авг-18, 04:04 
Ты то у нас светило. Ой, кажись, все-таки нет.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

28. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +2 +/
Сообщение от Andrey Mitrofanov (?), 23-Авг-18, 10:12 
>Проблема
> проявляется в ветках 1.6.x и 1.7.x

Это buster aka testing и experimental-даже-не-sid в Debian-е.

Спим дальше!

>и устранена в выпусках 1.6.3ubuntu0.1,
> 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +3 +/
Сообщение от Гентушник (ok), 23-Авг-18, 14:11 
> OS releases: Debian testing/unstable, experimental; Ubuntu 18.04, cosmic

Ну что-ж. Пользователям Убунты можно сказать спасибо. Приняли на себя первый удар.
А до Debian stable проблема так и не дошла, можно спать спокойно.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

42. "Уязвимость в пакетном менеджере APT, проявляющаяся в конфигу..."  +1 +/
Сообщение от Аноним (42), 23-Авг-18, 20:26 
Нам тут вообще мягко и шелковисто.

https://linux.pictures/projects/debian-stable-jpg

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру