Gondolatok a Linux kernel biztonsági problémáiról

Kernel

Chris Wright ma egy érdekes thread-et indított az LKML-en...

Ismert, hogy az elmúlt napokban felbukkant néhány olyan Linux kernelt érintő biztonsági hiba, amelynek a javítása a felfedezők szerint elkésett, mégpedig abból az okból, hogy az illetékesek nem válaszoltak megkeresésükre.Chris Wright azt a kérdést tette fel a Linux kernel levelezési listán, hogy lenne-e valakinek ellenvetése az ellen, ha létrehozna egy biztonsági kontaktot abból a célból, hogy a biztonsági hibákat bejelenteni kívánóknak legyen hova fordulniuk.

Jelenleg a biztonsági hibák bejelentése a következő fórumokon / személyeken keresztül történik: 1.) LKML, 2.) karbantartók, 3.) vendor-sec

Chris szerint sokkal jobb lenne, ha egy központosított helyen történnének a bejelentések. Chris a következőkkel javasolja kibővíteni a jelenlegi MAINTAINERS filet:

+SECURITY CONTACT

+P: Security Officers

+M: kernel-security@{vger.kernel.org, osdl.org, wherever}

+S: Supported

+

A levelére hamarosan válaszolt Linus is, aki nem zárkózik el a dologtól. A nemrég indult thread itt. Ha valakinek ötlete van, akkor az MOST KELL ELMONDANI!

( Gabucino | 2005. 01. 13., cs – 09:34 )

Elkepzelheto hogy mondjuk fel evig nem jon ki ujabb localroot bug linuxra?

Gabucino wrote:
> Elkepzelheto hogy mondjuk fel evig nem jon ki ujabb localroot bug linuxra?
Persze. Most egy rakás nyilvánosságra került, meg kell élni valamiből a
következő hónapokban is, utána majd azokat is terjeszteni lehet, először
a script kiddiek között, akik veszik a 0 day exploitokat, aztán ha már
nincs belőle pénz, akkor mehet a bugtraq-ra :)

Valaki elkezdhetné már a BSD-ket is nagyító alá venni :)