A biztonsági hibák és a full disclosure

Kernel

A 2.6.25.10-es stabil Linux kernel bejelentésében Greg Kroah-Hartman megjegyezte, hogy "számos válogatott hibajavítást tartalmaz szerte a [kernel]fában. És újra, a 2.6.25-ös kernelsorozat összes felhasználójának ERŐSEN javasolt frissíteni erre a kiadásra". Az "ERŐSEN" szón levő hangsúly hosszas vitához vezetett a LKML-en. A KernelTrap cikke itt. -- A Heise Security egyik cikke szerint az x86-64 rendszerek adminisztrátorainak erősen javallott frissíteni biztonsági okok miatt a 2.6.25.11-es kernelre. A témában kibontakozott vita egy része elolvasható az LWN.net-en a 2.6.25.10-es kernel bejelentésénél és az LKML-en innen illetve innen kiindulva.

Ha már linket küldesz be nem küldenél olyat, ami alá is támasztja amit írsz? Mert így a linked megnézve, meg az idézetet, amire Gombasg válaszolt, meg amit válaszolt, nekem olybá tűnik teljesen igaza van.

De tegyük fel, szerinted nincs. Érveket szeretnék hallani, hogy szerinted miért nincs, mert ez így röfögés amit csinálsz.

Ó, hát abban biztos voltam, hogy te és a hozzád hasonló Nagy Szakértőknek olybá fog tűnni, de szerencsére nekem ettől még nem kell magyarázkodnom, mert hál'sten vannak még olyanok, akik nem csak megnézik a linket, hanem értelmezni is képesek az olvasottakat és elfogultság nélkül levonni a konklúziót... ;)

Világos, tehát akkor ha nem GKH munkáját veszi át, akkor ne is ugasson, hiszen ő csak egy long-time contributor. Akkor viszont az egész levlista meg közösségi alapú fejlesztés egy nagy bábszínház.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

Igen, azért az marha kínos, amikor még azt se lehet a pofájába vágni, hogy nem tett le semmit az asztalra. Ha meg levlistát csináltak, akkor az ehhez hasonlókra is fel kell készülni.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

"Igen, azért az marha kínos, amikor még azt se lehet a pofájába vágni, hogy nem tett le semmit az asztalra."

Önszántából hozzájárult valamihez. Ettől még nem válik egyértelművé, hogy azt kell tenni, az illető helyesnek tart. A Linux kernel több ezer hozzájárulója van. Mindenkinek nem lehet - nyilvánvalóan - a kedvére tenni.

"Ha meg levlistát csináltak, akkor az ehhez hasonlókra is fel kell készülni."

Ez így van.

--
trey @ gépház

akkor nem olvastad el a szalat vagy nem ertetted meg. a lenyeg, hogy ok nem akarnak segitseget, mert nem is arrol van szo. a problema az, hogy nem kozlik a biztonsagi hibakrol, hogy azok egyaltalan biztonsagi hibak. megpedig azert nem, mert nem *akarjak*, nem azert, mert nem tudna'k. ezen mi nem tudunk segiteni, mert *nem* akarjak. vili?

igen, felre, bar igazabol gozom sincs Ted mirol beszelt, szoval lehet mar nala kezdodtek a problemak ;). a lenyeg, hogy a sok kimagyarazkodasnak az lett a vege, hogy kerek perec megmondtak, hogy ha nem tetszik a rendszer (biztonsagi hibak minden aron torteno tudatos eltussolasa, mert hogy errol volt szo vegig), akkor csinaljam en ugy, ahogy akarom, csak hagyjam mar oket beken. eleg gyerekes megoldas, de legalabb a vilag most mar latja, hogy amirol spenderrel papoltunk az elmult egy honapban, az nem ures vadaskodas volt, hanem a kokemeny valosag.

Kérdés, hogy ez ki számára hordozna információt:

- végfelhasználónak? nem hiszem, el sem olvassa a bejelentést
- a "rossz fiúknak"? nem hiszem, hiszen amelyik ért eléggé hozzá, az a commit-okat nézi
- a fejlesztőknek? nem hiszem, mert ők is a commit-okat nézik
- a disztribútorok? nem tudom, nem tűnt fel, hogy ott üvöltöttek volna a szálban, hogy tényleg jó lenne ez a "A security issue has been fixed" sor.

Akkor végülis kinek hordozna ez információt? Azoknak, akik saját maguk matyizzák a kernelülek? Viszont ezek értenek annyira kernelmatyizáshoz - ha a commit nem mond nekik semmit - hogy saját maguk álljanak neki pancsolni?

Abban egyetértek, hogy ne hívják full disclosure-nek (annak híjvák? én nem néztem), ha nem az.

--
trey @ gépház

distributorok: nagyon is jol jon, ha kulon megjelolik a biztonsagi frissiteseket
jo tudni, hogy mit kell backportolni es mit er ra majd csak kovetkezo riliznel berakni

--
“A well placed underscore makes the difference between a s_exchange and a sex_change”
— 8048 Users Manual, Intel 1977.

( willy v | 2008. 07. 16., sze – 23:05 )

Nos, ebben is az latszik, hogy idestova 10 eve nem valtozott semmi. Vannak akik tesznek valamit, jol vagy rosszul, es masok akik kivulallonak erzik magukat, jol megmondjak, hogy lehetne _tokeletesen_ vegezni a munkajukat. Nem foglalkozva azzal, hogy esetleg 26 masik szempont alapjan az mar nem tokeletes...
Nos ez esetben en is jol leszarnam az egeszet. A pax jol elvan ugy ahogy van, aki akarja hasznalja, ha akarja a team adjon ki kulon fat, mondja el mindenkinek miert szar az amit csinal a masik.
Nem tudom titeket sohasem idegesit a nagyon okos kollega belepofazik a munkatokba? (fuggetlenul attol, hogy igaza van e epp, vagy altalaban igaz e az amit mond, es ert hozza, akar sokkal jobban mint te)
Mindenkinek az _elvegzett_ munkajaert tisztelet es megbecsules jar(na).

el kene olvasni a reszleteket, mielott baromsagokat szolsz hozza. egyaltalan nem arrol volt szo, hogy megmondjam nekik, mit es hogyan kene csinalniuk. arra kerdeztem ra, hogy ha egyszer full disclosure-t deklaraltak, akkor mi a francert rejtik megis el a biztonsagi hibakat. ennyi volt, nem tobb. erre kiderult, hogy igen, tenyleg es tudatosan rejtik el oket (ebbol lett egy hosszu mellekszal, mert kivancsi voltam mi inspiralta oket erre, persze kiderult, hogy semmi ertelmes), es hogy nem, ez oket egyaltalan nem zavarja, sot me'g meg is probaltak magyarazni, hogy ez igy milyen jo mindenkinek. lehet teged nem erdekel mindez, engem igen. ettol meg nem leszek 'okos kollega' aki 'belepofazik' a munkajukba.

Egyreszt amit irtam, rad is igaz. Az elvegzett munka bizonyit. Errol ennyit.
Jelen eset: Van velemenyed, hogy rossz az amit csinalnak. O szerintuk meg elfogadhato.
Emellett elmondtam milyen erzes lehet ez nekik. (esetleg amellett hogy sajat magukban melyen pont azt gondoljak amit te).
Elofordul velem, hogy mellelovok, meg hogy nem olvasom el, de elolvastam, es dejavu erzesem lett..

Ja, kicsi hazankban kb. 10M-1 (=ferde nyaku Ibolyka) ember ert a focihoz :-)

Amugy a technikai reszletektol elvonatkoztatva, ha valoban full disclosure a deklaralt policy (ez magyarul azt jelenti, hogy a hibakat ferfiasan beismerjuk, majd kijavitjuk), akkor finoman szolva sumakolas az, ha csendben lapitunk, noha tudunk biztonsagi hibakrol. Igy x adminisztrator azt hiszi, hogy a 2.6.25.x kernele koser, pedig not even close....

Ugyhogy gyorsan vissza is alltam 2.6.24.x+grsec-re, amig ki nem jon egy test patch a 2.6.25.11+-hoz...

ASK Me No Questions, I'll Tell You No Lies

"es dejavu erzesem lett.."

Nekem is. Nemrég esett meg hogy kolléga elég sok év tapasztalattal elkezdte a tévedhetetlent játszani. Először Ő is csak finom utalásokat kapott, de a sértődés csak egyre nőtt hogy mit szólunk mi be(le). Valahogy ekkora sikernél elvész az alázat..:/

> Van velemenyed, hogy rossz az amit csinalnak. O szerintuk meg elfogadhato.

latod emiatt mondtam, hogy nem ertetted meg. a velemenyem nem az volt, hogy rossz a hibak szonyeg ala soprese (azert mert megkerdeztem oket, hogy miert gondoljak ezt jonak, meg nem jelenti azt, hogy rosszallom/egyetertek vele/akarmit gondolok rola), hanem hogy ne hazudjanak a vilagnak. leirtam, de ezek szerint megse olvastad el, hogy felolem olyan disclosure policy-t kovetnek, amit akarnak (beleertve a hibak teljes eltussolasat is!), de ha mar egyszer dontottek, akkor legyenek szivesek ezt 'dokumentalni'. a jelenlegi 'dokumentacio' (nem csak a Documentation/SecurityBugs hanem Linus meg masok sok even at a nyilvanossag elott tett nyilatkozatai) az, hogy a policy 'full disclosure', mindenki megnezheti maga, vagy megkeresheti google-ben. ami most kiderult, es elismertek *maguk*, hogy nem ezt kovetik/kovettek. ezt magyarul ugy mondjak, hogy becsaptak a felhasznaloikat es ha mi nem tesszuk szova, akkor meg jo sokaig nem derult volna ki.

( Oscon | 2008. 07. 17., cs – 14:34 )

Ha valaki jár erre, és követte a szálat és tud is (velem ellentétben) angolul, akkor az "ál-full-dosclosure" mellett van egy másik lista, amin az esetlegesen kitágított belső kört egy másik félig-meddig belső levlistán esetleg informálják a biztonsági hibákról, avova mondjuk pár külső fejlesztőt is úm. "meghívnak". ? Mert ha egyszerű halandónak nem szólnak az még csak csak, de ha mondjuk biztonsági patchek fejlesztőinek / olyan sokan azért szvsz nincsenek beleértve a különféle disztrók kernel team tagjait is / sem, az már nagyobb gáz.

vagy amolyan linus os módszerrel biztonsági hiba=normál hiba, és szarnak bele ?

-------------

r=1 vagyok, de ugatok...

"Denial of service"/"reliability" -hez kepest igen. (vagy minek hilyak)

Ezt nem tudom, mire érted.

Ha olyan trivilis minek leirni ? :)

Az ő elvük a full disclosure, mailto:lkml.

A személyeskedést inkább skippelem.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

amennyire en tudom van kb ket 'hivatalos' forras (kernel security lista meg vendor-sec), meg par belso ceges lista es nehany privat irc csatorna, ahol kulonbozo emberkek cserelgetik ezt az infot is. aki 'benne van', az annyi elonnyel indul, egyebkent mindenki boszen olvasgatja a commitokat es probalja a legjobb tudasa alapjan eldonteni, hogy valami erdemes-e backportra vagy sem. de vannak itt magyar disztro kepviselok is, ok biztos meg jobban tudjak.

ennek szerintem ket oldala van.

egyreszt volt mar egy balhe errol. ezekhez a privat levelekhez normal esetben nem juthattatok volna hozza. ezutan ne varjatok semmilyen konstruktiv hozzaallast greg k-htol.

masreszt pedig hidd el, hogy nem annyira kaotikus a helyzet, bar tenyleg az lenne az idealis ha az upstream (jelen esetben a -stable team) kerne a cveket es nem a vendorok. (bovebben itt.)

btw, hova lett a tobbi "magyar disztro kepviselo"? ;)

tekintve, hogy Greg mar reg bebizonyitotta, hogy egy balfek, tenyleg nem vartunk el tole sokat. amit elvartunk es elertunk az az, hogy a szog kibujjon a zsakbol. szivbol remelem, hogy megnyerik a pwnie dijat vele. a privat leveleitekrol meg annyit, hogy eleg nevetseges, amikor egy biztonsaggal foglalkozo privatnak kepzelt levelezesi lista nem hasznal titkositast. vagy emlithetnem a par evvel ezelotti mailmain bugot, amit, ha jol sejtem, tobbek kozott az lst.de-en probaltak ki.