Patch a WMF sebezhetőséghez

A közelmúltban felfedezett WMF sebezhetősegre reagálva a Microsoft kiadta az MS06-001 frissítést. Mindenkinek ajánlott frissíteni. Letölthető innen. A problémáról bővebben itt olvashatsz.

Hozzászólások

Én nem akarom tudni... ;D

Egyébként nyilván nem szerencsés, ha egyszerre zuhan meg 200 gép a hálózatban. Először egy külön teszt gépre kell ráereszteni a frissítést, aztán ha jónak tűnik, akkor mehet a többire, de akkor is érdemesebb csak lépésekben.

anr, látod milyen hamar megérkezett a frissítés? ;P

Mert mindenki erről beszélt és már ciki volt.

Nem emlékszem, hogy a FigyelőNet pl. foglalkozott-e valaha ilyen problémával, márpedig ebben a kérdésben 2!!! cikk is megjelent. Az üzletemberek pedig olvassák, és gonodlom nem csak nálunk volt ez így. Kezdett már nagyon égő lenni a helyzet.

Micskó Gábor írta:
> De a frissiteseket approve-olni kell nem? :-) Vagy vakon mehet ra minden a
> gepekre?

Ha automatára rakod, akkor a "megújított" frissítések mennek
automatán(volt már olyan, hogy az összeset megújították), az újakat meg
be kell pipálni és approve.

latom.

dec 27-jan 6.

hasonlítsd össze ezzel:

17% 4 órán belül, további 25% 4-8, 28% 8-24 óra alatt adják ki a javított verziót.

http://hup.hu/modules.php?name=Journal&file=display&jid=1048


Ég és föld a különbség. képtelen vagyok megértteni, hogy miért nem érti ezt mindenki:)))

Nekem ebből az értékelésből nem sok minden derül ki. Az "Open source developers" egy elég tág kör. Van arról statisztika, hogy a Novell és a RedHat mennyi idő alatt javítja a saját terjesztéseiben a hibákat? És itt most nem arra gondolok, hogy te rátudsz googlezni egy esetleges hotfixre, amit mondjuk egy gentoo developer készített és az alapján megpatcheled a Novell vagy RedHat rendszeredet, hanem olyanra, amelyet a cég hivatalosan ad ki. Nehezen tudom elképzelni, hogy egy enterspajz rendszerhez kiadjanak 4 órán bellül javítást. Annyi idő a tesztelésre sem elég egy komolyabb rendszernél, nem hogy egy bonyolultabb hibának a kiderítése és javítása. Ha ezek a cégek komolyan csinálják, akkor nem tehetik meg azt, hogy egy külső forrásból származó javításra csak úgy rábólintanak és már küldik is ki a saját hivatalos javításukként.

idezet a cikkbol:

The findings come from an October survey of more than 450 developers currently working on open source projects. Evans looked at the amount of time between the discovery of a serious bug in a program and finding a solution for the bug.Researchers found that 17 percent said that on average it takes them less than four business hours to find a fix. Another quarter said it took them four to eight business hours, Evans said.

tehat nem cegeket, hanem embereket kerdeztek meg. bar ezek akar lehettek redhat, vagy novell alkalmazotak is. ez az idoskala arra jellemzo, hogy mikor commitolta a fejleszto a megoldast. ez az amire a fejleszto mar azt modnja, hogy jo. nyilvan ha cegalkalmazott, akkor meg tole fuggetlen emberrel leteszteltetik, ha meg "egyetemista" projekttag, akkor meg kiadja es kesz. meglehetosen ritka, amikor fixelni kell a fixet, bar a M$-na ez is elofordult a teszteles ellenere is:))

Azért azt ugye tudod, hogy a "mikor commitolta a fejlesztő a megoldást" és a "lefordított binárisokból és más fájlokból készült javított csomagokat elérhetővé teszi a cég" között van egy kis idő? A fejlesztő hiába bólint rá, hogy jó, attól még azt tesztelni kell nagyon sok féle platformon, architektúrán, környezetben és körülmények között. De erről egy ilyen cégnél dolgozó fejlesztő/tesztelő biztos többet tudna mesélni.

Nem, mivel nem tudnak minden szoftverkornyezetet lemodellezni. Az alap QA-t megcsinaljak, de azert azt nem nezhetik vegig egyenkent, hogy mit csinal a vilag osszes szoftverevel.

Pl. a HP ugy kot bizonyos (igen nagy) ugyfelekkel szerzodest mondjuk datacenter szerverre (ott ugye borzasztoan magas rendelkezesre-allas van, borzasztoan nagy a szupport dij, de borzasztoan magasak a kotberek is) hogy az ugyfel teljesen pontosan lemodellezett rendszere fut naluk (ertsd: ugyanaz a vas, ugyaz a hw firmware verzio, ugyanaz a windows datacenter verzio, patchlevel, sp szint), es alkalmazasok. Erre toljak fel elotte az ilyen stuffokat, majd ha ott egy hetig (vagy bizonyos napig) nem okoz gondot, akkor mehet az eles rendszerre. Es meg ennek ellenere is volt olyan, hogy ott mashogy mukodott valami.

Szoval osszeferhetetlenseg lehet barhol, ezert javasolja a MS, hogy elobb teszteld le, majd ha jo, akkor alkalmazd eles rendszeren. Akkor nem lehet (akkora) gaz.

> Nem akarom vedeni a vindozt, de a www.hexblog.com -on par napra ra elerheto volt egy peccs, amivel be tudtad foltozni a gepedet, amig ms ki nem adta az official cuccot.

Igen, amire az MS azt mondta, hogy nem javasolja a telepiteset. Ezutan egy epeszu Windows admin azt nem telepiti eles rendszerre.

Azert van kulonbseg az ``en gepem, megpatchelem, aztan ha nem jo ujrahuzom'' es a ``megpatcheljem? mi lesz ha nem tudom visszacsinalni? ki ez a foszer aki csinalta a javitast? ha elk*rom, akkor ropulok, de ki fizeti a lakastorlesztes? es jelzalogom is van'' kozt.

nekem leginkább ez tetszik: MS06-001

úgy tűnik a 2000. év nem volt elég tanulságos.

(persze lehet mondani, hogy hol lesz a windows és microsoft 100 év múlva, de az a két karakter többlet szerintem senkit nem vágott volna földhöz).

(egyébként sok helyen látni hasonlókat)

nem találtam meg a download centerben, de sikerült megszereznem az exét, akit érdekel:

itt [bervi.uw.hu]

thx

SUS dolgozik, nekem meg marad időm linuxot buherálni :)