"- önmagában privilégium emelésre nem jó"
Szerintem nem ez határozza meg egy hiba súlyosságát. A mai világban már nem arra játszanak, hogy helyi root jogokat szerezzenek, hanem arra, hogy távoli hozzáférést a rendszerhez. Spam botnetekben van a nagy pénz, nem abban, hogy képernyőmentést csináljanak a "pwned" rendszerről és feltolják a netre. Biztos, hogy nagy probléma a local root sebezhetőség (főleg haveri társaságban üzemeltetett eggdrop szervereknél ahova accountja van boldog-boldogtalannak), de én sokkal nagyobb problémának látom a távoli rendszerhozzáféréses hibákat. Persze a legnagyobb probléma a kettő kombinációja. Szervereken a helyi root legyen annak a problémája, akinek vannak helyi megbízhatatlan felhasználói, lukas a rendszere távolról. A helyi desktop-omon is az értékes adatok nem a root biztokában vannak, hanem annak az usernek, amit én használok. Valószínűleg jobban parázok egy böngésző sebezhetőség miatt (amivel elcsórhatják a banki adataimat, meg a jelszavaimat, kulcsaimat), mint egy local root miatt. Én ilyenekben látom a problémát. Meg abban, hogy a FreeBSD még mindig sendmail-t szállít alapértelmezetten, ami ha jól tévedek (erre nem esküszöm) alap telepítés esetén még fut is vidáman. És nem csak localban.
"(és nem is a kernelben van)"
Ja, mert csak arról folyik a diskurzus? :)
"Ja, biztos többet ér. De akkor ezzel mit is mondtál?"
Azt, hogy nyilván azzal foglalkoznak többet, ami népszerű. Rendkívül kevés hibát fedeznek fel a .... (ide helyettesítsd be a hobby OS-eket), aminek nem az az oka, hogy rendkívül biztonságosak, hanem nagy valószínűséggel az, hogy a rák se használja.
"- a hiba nem FreeBSD specifikus"
Hogy azt ők írják, vagy csak valahonnan "ész nélkül" (hogy idézzek) belelapátolják, az a kihasználhatóság szempontjából teljesen mindegy. Én annyit állítottam, hogy FreeBSD-ben is van hiba. C-ben írják, emberek. Nincsenek illúzióim.
"Érdemesebb periférikus OS-eket használni, mert arra nem cuppannak rá az exploitírók?"
Nem, nem erre céloztam, hanem arra, hogy nyilván kevesebb hibát találnak egy kevésbé széles körben használt OS-ben. Ezen nem kell csodálkozni.
--
trey @ gépház