Köszi, hogy összefoglalod a történéseket. A magamfajtának, akik nem vagyunk ennyire otthon a kernel security témában, így lesz kerek és érthető az egész. A sztori érdekes, jó belátni a színfalak mögé.
Az egy tény, hogy a kernel fejlesztők időnként álcázzák a hibajavításokat, elismerem. Ahogy Linus is írta: van, aki ezt elítéli, de speciel én, mint felhasználó, bizonyos cél érdekében ezt el tudom fogadni, akár helyeslem is.
I.,
Ami számomra elfogadhatatlan eljárás az az, hogy a biztonsági hibajavítások hosszú idő után sem kapnak CVE-t. Itt ugye erről nincs szó, hiszen CVE-t kértek rá azok, akiknek (állítólag) lehetőségük lett volna tovább titkolni a dolgot - nyilvánvalóan ez nem volt céljuk.
A 2003-as do_brk esetben -ha jól értem- a 2.4.23-as kernelbe jött egy sunyi javítás. A disztókészítők és a nagyvilág erről láthatóan nem lett értesítve. Viszont itt is muszáj kérdeznem: nem csak azért nem lettek értesítve, mert a javító nem gondolta, hogy biztonsági rést javít? Ez persze szakmai hiba lenne, de hibát mindenki ejthet. Véleményed szerint kizárt, hogy csak erről van szó?
II.,
Én mint felhasználó, akkor tudom elfogadni a hibajavítások átmeneti álcázását (a kernel repoban és a disztrók changelogjában), ha közben a disztróm ezerrel dolgozik azon, hogy mire kijön a CVE, elérhető legyen a javítás is.
Ha Kurt tényleg hazudott -ahogy Kees és te állítod- azaz valójában csak a RedHat lett értesítve a hibáról és a javításról, az elég nagy disznóság. Azt elfogadom, hogy csak egy egész szűk kör lehet jelen egy efféle fórumon (másképp több lenne a blackhat mint a disztrók küldöttje), de hogy legalább egy Debian, SUSE, Ubuntu küldött ne értesüljön - az nincs rendben.
Ebben az esetben azonban a fenti disztróknak kéne kiverni a balhét, de miért nem teszik? Egy SUSE Enterpriset nem zavar az, hogy emiatt -vagy az ehhez hasonló eljárás miatt- komoly üzleti hátrányba került/kerülhet? Szóval nem lehet, hogy mégis eljutott hozzájuk valami számunkra láthatatlan csatornán az infó..? - Ja, ezt persze nem tőled kéne kérdeznem, de kompetensebb embert nem tudok.
Azt tudom, hogy Keeshez nem jutott el semmi - de a ChromeOS jelenleg egy jelentéktelen Linux. Rá lehet mondani, hogy emiatt "így járt".
PaXTeam, azt azért lásd, hogy igazából nem vitatkozni akarod veled hanem tanulni tőled, viszont ehhez fel kell tennem ilyen kötözködő/dilettáns kérdéseket is. Jogodban áll ignorálni.
(Az LWN cikket még nem látom, bocs.)