forum.opennet.ru

"OpenNews: Отчет о проблемах безопасности при работе менеджеров пакетов в Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"OpenNews: Отчет о проблемах безопасности при работе менеджеров пакетов в Linux"	+/–
Сообщение от opennews (?), 15-Июл-08, 13:22
Исследователи из университета Аризоны опубликовали отчет (http://www.cs.arizona.edu/people/justin/packagemanagersecuri...) по проблемами безопасности, возникающих при работе менеджеров пакетов в Linux. Основной акцент сделан на том, что утилиты, такие как yum и apt с готовностью инсталлируют пакеты, проверяя только их версию. При этом известные уязвимости этих сборок в расчет не принимаются. Получается, что менеджеру пакетов можно передать абсолютно любое ПО, лишь бы его версия была выше предыдущей. Менеджеры пакетов часто запускаются с администраторскими привилегиями, для того что бы модификация кода программ и системы происходила в автоматическом режиме без участия пользователя и ввода необходимых паролей. В результате, процесс получает неограниченные полномочия, и обеспечение его безопасной работы является жизненно важной задачей. <i>"Мы изучили десять популярных менеджеров пакетов, включая APT, YUM, YaST и др., для операционных систем, ос... URL: http://www.cs.arizona.edu/people/justin/packagemanagersecuri... Новость: https://www.opennet.ru/opennews/art.shtml?num=16952
Ответить \| Правка \| Cообщить модератору

Оглавление

OpenNews: Отчет о проблемах безопасности при работе менеджеров пакетов в Linux, opennews, 15-Июл-08, 13:22 [смотреть все]

а типа в генте всё гуд компилятсия рулед , анонимус, 15-Июл-08, 13:22 (1) //
- Всё ровно так же - подменяется сервер обновлений, ебилд популярного приложения , Аноним, 15-Июл-08, 13:34 (4) //
  - Может я и параноик, но и я об этом задумывался, на мой взгляд если гентушники от, TTT, 15-Июл-08, 15:14 (13) //
    - плюсадиню, анонимус, 15-Июл-08, 16:21 (20)
      - Если PS гентушники более уязвимы ещё и для configure-троянов навроде сендмыльно, Michael Shigorin, 15-Июл-08, 17:37 (26)
        
        Для 100 защиты все-равно надо еще сорц глазами до компиляции читать еще, а вот , User294, 16-Июл-08, 17:23 (43)
Господа, с такой паранойей лучше вообще в сеть не выходить, Аноним, 15-Июл-08, 13:24 (2)
Ну насчет левых репозиториев и подмен - GPG сигнатуры никто не отменял, RPM напр, ifel, 15-Июл-08, 13:28 (3) //
- Подмена сервера обновлений Сделал апдейт базы менеджера пакетов не с того серв, Аноним, 15-Июл-08, 13:36 (5) //
  - Не, если стоит проверка signatures, то пакет нах пошлет Если все полностью меня, ifel, 15-Июл-08, 13:53 (8)
короче, коммерческие линуксы рулят у них там всё по https и всё с паролями и т п, Аноним, 15-Июл-08, 13:45 (6)
Не скажу за перечисленные RPM-based дистрибутивы, но насколько я понял товарищи , mend0za, 15-Июл-08, 13:47 (7) //
- Согласен по всем пунктам По бла-бла-бла, а не исследование вдвойне По RPM bas, ifel, 15-Июл-08, 13:56 (9)
- Диагностика - половина лечения Народ осознал наличие проблемы и говорит, что на, Аноним, 15-Июл-08, 13:56 (10)
- MD5 подделать можно , Pilat, 15-Июл-08, 14:08 (12) //
  - подробнее пожалуйста -- и скажите сразу сколько нужно времени чтобы подделать ли, pavel_simple, 15-Июл-08, 15:34 (14) //
    - гугл поможет тебе осознать, что md5 можно подделать в короткие сроки, Aquarius, 15-Июл-08, 15:46 (16)
    - несколько миллисекунд Подробности Вы найдёте в гугле без труда , Pilat, 15-Июл-08, 15:58 (18)
      - вы оба я смотрю особенно хорошо изучили google -- тогда может скажите КАК это д, pavel_simple, 15-Июл-08, 16:01 (19)
  - В Debian в файлах Release и Packages используется так же хеши, вычисленные по ал, Александр, 16-Июл-08, 00:18 (33)
Решение простое - ставить из портов, обновленных portsnap При этом абсолютно вс, Аноним, 15-Июл-08, 14:05 (11) //
- А как насчет обновления world через cvsup там ничего не проверяется , Shane, 20-Июл-08, 14:36 (46)
Похоже, на сей раз ФриБСД сделала Линуксы Ну хоть по защищенности , Xavier, 15-Июл-08, 15:41 (15) //
- не на сей, а во веки веков 8 , Aquarius, 15-Июл-08, 15:52 (17) //
  - Пусть почит с миром , Анонимус, 15-Июл-08, 16:34 (23)
- ИМХО лучше скачивать потенциально дырявые обновления, чем не скачивать никаких , Анонимус, 15-Июл-08, 16:34 (22)
- Защита репозитария - это конечно хорошо, но есть и другой аспект В FreeBSD есть , Осторожный, 15-Июл-08, 16:41 (24) //
  - Глупенький, о информативности пакетов никто не говорит Говорят о их подмене , Анонимус, 15-Июл-08, 17:31 (25) //
    - Авторы прогнали, все rpm подписаны и тот же yum вылетает на чужих пакетах, пока , fi, 16-Июл-08, 00:38 (35)
      - Подменить самому, будучи рутом, и когда подменит кто-то другой - две большие раз, nuclight, 27-Июл-08, 21:59 (47)
  - Вообще-то если обновление вышло, значит следует его ставить А в такой ситуации , Александр, 16-Июл-08, 00:56 (37)
  - glsa-check для gentoo , just_another_anonymous, 16-Июл-08, 09:08 (40)
- См выше критику статьи и аналогичных криков гентушников однако, тоже линукс И, Michael Shigorin, 15-Июл-08, 17:45 (27)
- В смысле , Александр, 16-Июл-08, 00:34 (34)
По большому счёту надуманная проблема, хотя потенциально опасна в IPv4, если кто, Анонимус, 15-Июл-08, 16:33 (21) //
- Вы невнимательно прочли даже то по существу, что было в статье Там было про злон, Michael Shigorin, 15-Июл-08, 17:47 (28) //
  - Авторы статьи облажались - эта проблема была решена еще когда стали делать первы, fi, 16-Июл-08, 00:43 (36) //
    - Если я правильно понял, то некоторая теоретическая опасность есть Даже если в д, Александр, 16-Июл-08, 01:17 (38)
      - И этот случай предусмотрен Например, в yum указывается не репозитарий, а список, fi, 16-Июл-08, 10:11 (41)
такой бред ключи сравниваются в RPM не поставишь пока сам не нажмёшь то есть, Аноним, 15-Июл-08, 18:14 (29)
В общем понял - Линукс такойже дырявый как и Винда, тка что нечего время тратить, Анонимус, 15-Июл-08, 21:30 (30) //
- Так и не трать И на новости про Linux тоже , anonymous, 15-Июл-08, 23:12 (31)
- по-моему ты вообще ничего не понял, szh, 15-Июл-08, 23:32 (32) //
  - Помоему вообще мало кто что понял , Аноним, 16-Июл-08, 03:10 (39)
Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий полож, Sarge, 16-Июл-08, 12:16 (42) //
- SUSE открестились от этого http lists opensuse org opensuse-security-announce, fi, 17-Июл-08, 00:09 (44) //
  - http www hughesjr com content view 22 1 , poni, 19-Июл-08, 03:18 (45)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру