A FreeBSD biztonsági hibát rejteget, Theo szóvá tette

OpenBSD

Theo de Raadt, az OpenBSD projekt vezetője pénteken egy levelet küldött a misc@ listára, amelyben leírta, hogy a FreeBSD projekt néhány fejlesztője olyan biztonsági hibát talált, amely bizonyos körülmények között érintheti az i386 gépeken futó operációs rendszereket.

Theo azt állítja, hogy kérte a hiba részleteit, de a FreeBSD projekt visszautasította annak közlését. Erre Theo azt mondta, hogy ha az OpenBSD projekt biztonsági hibát talál az OpenSSH-ban, akkor a FreeBSD projekt lesz az utolsó akit értesíteni fognak.A hibát Colin Percival találta még tavaly decemberben. Mivel nem volt benne biztos, hogy a hiba érinti a többi BSD-t is, részleteket kért a DragonFly és az OpenBSD projekttől. Colin azt írta Theonak, hogy a részleteket elmondta az Ted Unangst-nak, és megegyeztek annak kezelésében.

A hiba napvilágra hozása fontos az OpenBSD projektnek abban az esetben, ha az valóban érinti a rendszerüket. Az OpenBSD a biztonságot tartja a legfontosabb céljának, és a hibák kezelésekor a teljes közlés (full disclosure) utat járja.

A probléma az, hogy a biztonségi hibát nem akarják a felfedezői publikálni 2005. május 13-ig. A bejelentést a BSDCan rendezvényre időzítik. A hiba egy helyi információ szivárgás, amely több olyan operációs rendszert is érint, amely x86 vason fut.

A szál itt.

De igen.

De azért nem lett volna hátrány egyértelműbben jelezned, hogy CP az infót átadta az OBSD-seknek, csak éppen nem Theo Nagyméltóságos Úrnak, hanem az egyik, Theo Atyaúristen által javasolt fejlesztőnek - azaz FUD az egész, vagyis a szokásos "15 perc hírnév" okán írta fent hivatkozott kedves levelét Theo, a Hibátlan.

Na nezzuk:

A cim elso resze: A FreeBSD biztonsági hibát rejteget

Fel evig takargatni egy bugot ugy, hogy kozben megszelloztetjuk, es akar mas is raakadhat, az nem rejtegetes? Decemberben fedezte fel a joember a bugot, es majusban akarja bejelenteni. Az OpenBSD szempontjabol ha ok is erintettek es addig nem jelenthetik be, akkor ez bizony rejtegetes, mivel ok a full disclosure-t szeretik. Gondold el mekkora eges lenne Theo-nak es csapatanak, akik a biztonsagra gyurnak, ha mondjuk kiderulne, hogy tavoli root sebezhetoseg van a rendszerukben, es az meg harom honapig nem lesz befoltozva. En is ideges lennek a helyeben.

De imho ez a FreeBSD szempontjabol is igaz. Mi van akkor, ha underground korokben mar regen tudnak rola?

A cim masodik resze: Hat Theo bizony szova tette. Ezzel nincs mit kezdeni.

:-)

"Na nézzük:

A cim elso resze: A FreeBSD biztonsági hibát rejteget

Fel evig takargatni egy bugot ugy, hogy kozben megszelloztetjuk, es akar mas is raakadhat, az nem rejtegetes? Decemberben fedezte fel a joember a bugot, es majusban akarja bejelenteni."

Ez eddig OK, de:

a) még nincs itt a május, tehát egyelőre nem rejtegették fél évig.

b) nem rejtegették, hanem bizonyos - őáltaluk kiválasztott társasággal - ismertettek róla valamit. Nem én vagyok se Colin, se Ted, se Theo, tehát nem tudom mit. Ezzel szemben az egyik hivatkozott levél szerint Theo volt az, aki a neki eljuttatott információk alapján Ted-hez utalta a dolgot - akkor meg mit nyafog?

c) lehet, hogy akkor még nem voltál ennyire naprakész Theo életművében, amikor találtak egy OpenSSH-beli bugot, és a full disclosure a következőből állt:

Figyelem, figyelem! X. hó Y. napján kijön az OpenSSH A.B.C verziójának D. patchlevel kiadása. Tessen ugrásra készen állni, mert qrva nagy biztonsági hibát fedeztünk fel, és abban fogjuk javítani. Nem mondjuk meg mi az, nem mondjuk meg merre keressétek a hibát, de baj van!

És az egész fbsd-security team átkozódott, hogy ennél talán csak picit kéne azért több infó, de nem volt. Nem "A" team vezetőjének, senkinek se. Szóval Theo mióta is ilyen nagy full disclosure rajongó? Amióta esetleg más is találhat bugot? Ugyan már!

Ovis viselkedésmód, hogy minél többen az ő szavára figyeljenek. Majdnem annyira, mint ez a default install X kihasználható hiba Y év alatt szlogen. Nem tegnap néztem utoljára, de a szlogen már akkor is így nézett ki, de a fél inetd.conf elindult a default telepítés után. Érdekes módon a NetBSD-sek nem verik ilyen marhasággal a nyálukat, pedig az övék aztán kategóriákkal biztonságosabb, hisz alaptelepítésből csak single-be butul. Ha meg átállítod, az már nem alapbeállítás.

Lol.