Gondolatok a Linux kernel biztonsági problémáiról

 ( trey | 2005. január 12., szerda - 22:35 )

Chris Wright ma egy érdekes thread-et indított az LKML-en...

Ismert, hogy az elmúlt napokban felbukkant néhány olyan Linux kernelt érintő biztonsági hiba, amelynek a javítása a felfedezők szerint elkésett, mégpedig abból az okból, hogy az illetékesek nem válaszoltak megkeresésükre.Chris Wright azt a kérdést tette fel a Linux kernel levelezési listán, hogy lenne-e valakinek ellenvetése az ellen, ha létrehozna egy biztonsági kontaktot abból a célból, hogy a biztonsági hibákat bejelenteni kívánóknak legyen hova fordulniuk.

Jelenleg a biztonsági hibák bejelentése a következő fórumokon / személyeken keresztül történik: 1.) LKML, 2.) karbantartók, 3.) vendor-sec

Chris szerint sokkal jobb lenne, ha egy központosított helyen történnének a bejelentések. Chris a következőkkel javasolja kibővíteni a jelenlegi MAINTAINERS filet:

+SECURITY CONTACT
+P: Security Officers
+M: kernel-security@{vger.kernel.org, osdl.org, wherever}
+S: Supported
+

A levelére hamarosan válaszolt Linus is, aki nem zárkózik el a dologtól. A nemrég indult thread itt. Ha valakinek ötlete van, akkor az MOST KELL ELMONDANI!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Elkepzelheto hogy mondjuk fel evig nem jon ki ujabb localroot bug linuxra?

nem sajnos a jelenlegi fejlesztesi utemtervben havi 180 local root van eloiranyozva

ui. talan a 3-as kenel verzional

Gabucino wrote:
> Elkepzelheto hogy mondjuk fel evig nem jon ki ujabb localroot bug linuxra?
Persze. Most egy rakás nyilvánosságra került, meg kell élni valamiből a
következő hónapokban is, utána majd azokat is terjeszteni lehet, először
a script kiddiek között, akik veszik a 0 day exploitokat, aztán ha már
nincs belőle pénz, akkor mehet a bugtraq-ra :)

Valaki elkezdhetné már a BSD-ket is nagyító alá venni :)