Фонд свободного ПО опубликовал (http://www.fsf.org/news/free-software-foundation-statement-o...) заявление, в связи с выявлением критической уязвимости (http://www.opennet.me/opennews/art.shtml?num=40667) в GNU Bash. В заявлении отмечено, что свободный характер проекта позволил обеспечить оперативное устранение уязвимости в дистрибутивах, многие из которых сумели выпустить обновления не дожидаясь реакции разработчиков проблемного ПО. Свободная лицензия и доступность кода дали возможность компании Red Hat, получившей информацию о проблеме на раннем этапе её обнаружения, оперативно самостоятельно подготовить патчи, поделиться ими с разработчиками Bash и распространить их среди пользователей и команд разработчиков других дистрибутивов.
В условиях, когда любое программное обеспечение может содержать ошибки, независимо от того свободным или проприетарным оно является, свободное ПО создаёт большие предпосылки для обеспечения безопасности, так как оно предоставляет любому возможность изучить код, а если будет найдена уязвимость подготовить безопасный вариант и немедленно поделиться решением с другими пользователями. В случае проприетарного ПО неизбежно бы потребовалось дополнительное время, из-за необходимости ожидания реакции от производителя и получения обновлений через официальные каналы.
URL: http://www.fsf.org/news/free-software-foundation-statement-o...
Новость: http://www.opennet.me/opennews/art.shtml?num=40686
Ох уж этот фонд СПО.
Ну а что, нормально сработали. За примерно сутки 2 итерации фикса приехало. Это вам не какой-нибудь MS где месяц бы осла за уши тянули.
m$ не только на поприще критических уязвимостей хромает на обе нижние конечности, даже виноватых в ошибках драйверов долго не сыскать.
> даже виноватых в ошибках драйверов долго не сыскать.А с драйверами у них перманентная ж...! В линухе были прецеденты успешной починки багов на которые я нарвался. В винде такого не случилось ни разу. Как мне больше нравится - ну вы поняли. Я за живых разработчиков которые чинят свои ляпы, а не корпоративную стену из бакланов первой линии саппорта, выдающих стандартные отписки.
> а не корпоративную стену из бакланов первой линии саппортаО да, 1-2 линия саппорта приравнивается к 9 кругам ада.
> О да, 1-2 линия саппорта приравнивается к 9 кругам ада.Ну, понимаешь, с открытым драйвером я могу просто пойти да попинать живого разработчика, если понимаю где проблема. И если не прислать фикс, так хотя-бы показать нормальную диагностику, а если чего-то не хватило - получить по макушке и не отходя от кассы собрать.
Есть некая разница: потратить на взаимодействие полчаса или полгода. И да, я участвовал в разработке проприетарного софта и получше вашего в курсе как это все выглядит. Не желаю для себя такой участи, извините. Да и для других тоже.
Ваше (не лично ваше, а вообще) "могу" уже надоело. Ничего вы не можете!В итоге стоит какая-нибудь ---ня размером 10-100 метров сырца и чёрт его знает что с ней делать. Выбьешь здесь кирпич - там полбашни развалится. "Я могу разобраться!" - можешь, можешь, малыш, годка за 3-4, но ждать пока ты разберёшься в их бы-локоде никто не будет; да и быстрее написать своё г--но, чем разобраться в этом.
Прислать фикс, произвести диагностику - то же самое. Кто платит? Или ты своё время будешь тратить? Сколько уже потратил? Говорят, после 1000 часов имеешь право называться мастером, у тебя сколько? Сдаётся, что такое же "могу".
Я уже давно приравнял "хочу" и "делаю", но с каждым месяцем я всё ближе к тому, чтобы приравнять "могу сделать" и "делаю".
>Ничего вы не можете!ты по себе не суди-то
> Прислать фикс, произвести диагностику - то же самое. Кто платит? Или ты
> своё время будешь тратить? Сколько уже потратил? Говорят, после 1000 часов
> имеешь право называться мастером, у тебя сколько? Сдаётся, что такое же
> "могу".Ну на винде же тратим время на изучение дампов в BlueScreenView и прочих.
В linux скопипастить kernel panic или запустить gdb/strace значительно проще.
А что тут подчёркивать? Все и так всё понимают. Ну, кроме упоротых вендофанов, вендотроллей на полставки, и прочих наркоманов и идиотов.
Идиоты тоже не полностью потеряны для общества. Объяснить и убедить их, конечно, невозможно, но если долго что-то повторять, то они начинают в это верить. И пусть лучше FSF повторяет, чем... ладно, хрен с ней, с политикой...
> но если долго что-то повторять, то они начинают в это верить.Если бить палкой, верить начинают быстрее.
Особенно доставляют идиоты кричащие что раз есть возможность исправить, значит всевозможные ошибки уже исправлены и следовательно открытый код качественней.
> Особенно доставляют идиотыНе общайтесь с идиотами
Кроме того, процесс устранения уязвимости выявил немощь зажравшегося интерпрайза с микрософтом во главе в оперативном реагировании на проблемы, решённые сообществом свободного ПО.
Шапка тырпрайз и ниче, резвая.
> Шапка тырпрайз и ниче, резвая.А шапка одна из немногих энтерпрайзов которые смогли нормально интегрироваться в открытые процессы как их составная часть а не пудовая гиря на ногах.
шапка и есть зажравшийся тырпрайз, который дольше всех второй фикс выкладывал, небось у них совещание было по вопросам эффективности инвестиций и волатильности рынка, тестировать уже готовый патч было некому.
> шапка и есть зажравшийся тырпрайз, который дольше всех второй фикс выкладывал, небось
> у них совещание было по вопросам эффективности инвестиций и волатильности рынка,
> тестировать уже готовый патч было некому.""[...]allowed Red Hat to develop and share patches in conjunction with Bash upstream developers efforts to fix the bug, which anyone can download and apply themselves.
FSF, вверху.
+++Пожиратели блобов должны! %)))
думаю, надо на убунту переезжать
На фоне того, что по примерным оценкам эта дыра существовала лет 5 и одному богу известно, кто про нее знал и молчал (а ведь Сноуден рассказывал, что в АНБ есть специальный отдел, который занят исключительно поиском дыр в открытом ПО) - эта оперативность особой роли не играет...
Эх, жаль, то у АНБ нет такого же отдела для проприетарного ПО. А х да, точно, он есть. На фоне того, что по примерным оценкам около 146% дыр в проприетарном ПО так и не были обнаружены никем, кроме АНБ - эта опиративность играет весомую роль.
У мелкософта с АНБ любовь и дружба - неразлейвода (совместные конференции, мутные скандалы с ослаблением шифрования и проч.) надо думать - не за просто так. Сколько там пока еще не известных бэкдоров Большому брату слито - один Бог знает. Ну и АНБ.
>146%Это только у нас может быть 146%, а у них 110%
> Это только у нас может быть 146%, а у них 110%А разве не 120%7 :)
> Эх, жаль, то у АНБ нет такого же отдела для проприетарного ПО.Есть. Называется "отдел по работе с партнерами".
Зачем ковырять бинарники, когда можно договориться?
в гогне которое использует sh/bash постоянно находят уязвимости. Лет пять назад без этой баги было полно других дыр и их ещё хватит на лет десять. sh/bash само по себе большая дыра если используется вне терминала пользователем.
Пруфы как всегда?
> На фоне того, что по примерным оценкам эта дыра существовала лет 5В
bash-2.05b.tar.gz 17-Jul-2002
тоже попатчили
bash205b-010.sig 27-Sep-2014 22:36
, так что примерные оценки несколько смещаются ближе к "всегда".Соурс-коуд археологи уже спешат^Wснаряжают верблюдов в сторону версий 1.x и поиска того героя, что _так удачно совмеслил окружение и передачу ф-ций в sub-shell.
> и одному богу известно, кто про нее знал и молчал (а
> ведь Сноуден рассказывал, что в АНБ есть специальный отдел, который занят..гм, 2002: git-а ещё не было, но АНБ была.
Вот и "награждение непричастных"
Всё правильно написали.
На сколько быстро и оперативно патчи дойдут до всяких "закрытых" линуксов?Старье никто обновлять не собирался, да и порой невозможно это.
Было бы правильно, еще и опубликовать инструкции как пофиксить это на работающих системах, особенно старых или железо, где обновление затруднено.
> На сколько быстро и оперативно патчи дойдут до всяких "закрытых" линуксов?Ну так вы сами себе виноваты. Нефиг с такими полупроприетарными конторами связываться. Плюсами СПО надо по факту пользоваться, а не так что для галочки сугубо. Если у вас оно было для галочки - ну вы и получили результат "на отъ...сь".
> Старье никто обновлять не собирался, да и порой невозможно это.
Опять же - если вы юзали систему без поддержки - ну вы понимали на что шли.
> системах, особенно старых или железо, где обновление затруднено.
При аварии выдерни шнур, выдави стекло.
К сожалению таких контор появляется все больше и больше и они были и раньше...которые своей фактически паразитной политикой безопасности (как формальный предлог) подвергают риску потребителей системы. За то время например, пока выйдут патчи, произойдет т.н. "бюрократический отстой" - критические участки подвержены взлому.
Поддержка? Никто со старьем возиться не будет, даже за деньги. Это порою невозможно. Софт пишут так, что через ~5-10+ лет выкидывается. Это проблема. Приходится задумываться о "музеях"
Выдерни шнур? Что делать с роутерами и железками - еще предстоит выяснить, как там обстоят дела у прошивок.
Кстати, если в баше нашлась такая экзотика, то в аналогичных системах тоже может быть, а у МС и подавно...
> К сожалению таких контор появляется все больше и большеНаперсточников хватало во все времена. Пора бы уже за столько лет усвоить что не все йогурты одинаково полезны.
> Поддержка? Никто со старьем возиться не будет, даже за деньги.
И это правильно. Потому что сами програмеры не намерены поддерживать ископаемые версии своего софта. Это очень затратно. И если не выеживаться и не строить из себя мачо, обновиться на актуальную версию софта обычно не является проблемой в техническом плане. А то что вы отдали свою тушку на попечение лохотронщику вместо интегратора, так что тот вас кинул с пересборкой обновленных систем - это уже вы пролошились, выбрав для заботы о своей тушке лохотронщика.
Еще иногда бывает так что железо ну совсем печальное по современным меркам, так что чисто технически сложно на нем что-то обновлять, если все апстримы на это забили или подтянули системные требования, но это случается довольно редко. Намного чаще это именно кидатель-интегратор. Касается всяких полупроприетарных appliance и прочего, где вместо нормальной поддержки и серьезного сообщества - в лучшем случае какой-нибудь сидюк с сорцами за сто баксов "на отвали" (как у всяких микротиков и тому подобных удодов). Ну да, связываясь с таким интегратором вы должны понимать что если он вас кинет - вы окажетесь 1 на 1 с вашими проблемами скорее всего (ибо сообщество кодеров и независимых майнтайнеров вокруг проекта с стодолларовыми сидюками не возникает, извините). Основной пойнт открытых решений - это как раз не зависеть на 100% от 1 поставщика, а не галочка для лощеного манагера [x] мы тоже юзаем опенсорс. Если вы пролошились и поставили галочки для румяных манагеров выше здравого смысла - то что за этим последует ВАМ ПО ЗАСЛУГАМ. Потому что если некто идет играть с наперсточниками, он должен понимать что его нагреют.
> Это порою невозможно. Софт пишут так, что через ~5-10+ лет выкидывается. Это проблема.
> Приходится задумываться о "музеях"Он не "выкидывается" а "всем лень майнтайнить окаменелый крап". И задумываться надо не о музеях, а о возможности получать апдейты вплоть до момента пока вам возможностей железа под задачи хватает.
> Выдерни шнур? Что делать с роутерами и железками - еще предстоит выяснить,
> как там обстоят дела у прошивок.Ну вот поэтому логично поинтересоваться - какие девайсы поддерживают проекты, которые с нами надолго и всерьез. Для роутеров например хоть нечто типа OpenWRT того же. OpenWRT уже много лет с нами и загибаться в ближайшее время похоже не собирается - только прирастает новыми разработчиками. Так что получается что даже древний Asus WL-500GP V1, который давно не производится, и на который давно положил производитель, до сих пор поддерживается и на нем по прежнему можно запускать актуальные версии софта. Ради интереса заменил там MiniPCI карточку на .n Atheros. Получился такой вот гибрид, роутер на 300Мбит :). Все что надо - пару модулей для атероса подпихнуть. Если по уму - ребилдом образа, а если лень то просто доустановкой пары модулей руками.
Вообше, имхо если вы хотите продвинутостей и безбедной жизни - то или выбирайте железку с запасами по спекам и поддержкой открытыми прошивками, или вообще можно сделать софтроутер на основе системы которая вам привычна.
> Кстати, если в баше нашлась такая экзотика, то в аналогичных системах тоже
> может быть, а у МС и подавно...У MS именно такой наверное не будет, ибо они не заклинены на передаче 100500 порций хлама извне груде скриптятины. Но это не значит что у них не будет других проблем. В любой достаточно сложной программе заведомо есть куча багов.
Это все понятно и согласен со многим, но ведь хочется чтобы - поставил железки и забыл - работает и проблем никаких. С софтом и операционками тоже самое. Почему потребитель должен принимать на себя проблемы и недоработки разработчиков? В конце концов почему за счет потребителя? Потребитель готов платить за решение его проблем.
> поставил железки и забыл - работает и проблем никаких.А поставщику-коммерсанту в общем случае совсем не хочется забесплатно поддерживать вас вечность. Им вообще интереснее всего поменьше работать и посильнее вас на бабло нагреть. В идеале - получить уйму денег и ничего не делать. Это конечно пахнет лохотроном, но ведь "ничего личного, это бизнес". Это некий конфликт интересов. Рынок по идее должен балансировать эти интересы, но куда качнется баланс в том или ином случае - вопрос весьма отдельный. И надо подробно разбираться. Иначе бойкие наперсточники оставят без штанов. Не любят в этом мире лохов...
> С софтом и операционками тоже самое. Почему потребитель должен принимать
> на себя проблемы и недоработки разработчиков?Не хотите - не принимайте. Ваше право. Это охотно за вас сделают другие. Если вы им чемодан денег принесете. Вот как-то так раз и получается что бизнесмены с LSE устали заносить чемоданы денег партнеру MS да и купили разработчика софта, вместо дотнета и винды - на плюсах и под линух. Ну и по сути стали сами себе софт для своей биржи делать. Это получилось дешевле. Вот как-то так оно и бывает...
> В конце концов почему за счет потребителя? Потребитель
> готов платить за решение его проблем.Ну так платите. Просто нынче единоразовые платеж за вечную поддержку мало кого устраивает - хотят доить много и нагло. Нет апдейтов на железку? Ок, купите у них НОВУЮ железку. Там починят баги, да :). Правда, через год-другой история повторится, извините :P. Без лоха жизнь плоха.
>К сожалению таких контор появляется все больше и больше и они были и раньшеКакие конторы, о чем Вы говорите, Я тут у соседнего провайдера сетку посмотрел по 80 порту, в первом же десятке нашел открытый микротик, в смысле совсем открытый, даже логин набирать не надо, панель управления открывается сразу.
Тут поддержка нужна не софту, а здравомыслию.
А конторам и их изделиям нужен публичный адекватный рейтинг.
Похоже на маркетинговый буллшит. Все зависит от добросовестности и профессионализма разработчиков и самоотверженности хакеров. Нашел дыру - рассказал миру! Ха! А в тихаря юзать и продавать эксплойты кто будет?
Латание дыры в закрытой программе может произойти как до публикации инфы о ее существовании так и сразу же после.
> Похоже на маркетинговый буллшит. Все зависит от добросовестности и профессионализма
> разработчиков и самоотверженности хакеров. Нашел дыру - рассказал миру!Вот только насколько я помню - MS сподвигнуть на внеплановые релизы фиксов без ожидания месяц смогли может пару раз за всю историю. И те через неделю жестокого поимения хакерами всего и вся. Так что у кого там маркетинговый булшит - а где они так уж приукрасили? Процесс есть и работает и конструктивно настроенные люди объединяются в рамках таких процессов. Потому что это эффективно и результативно, в отличие от проприерасов.
Во первых ,проприетарщина это не только МС ,во вторых arch и до сих пор в репах нет нехрена ,дыра остается .
Вчера вечером прилитело core/bash 4.3.026-1
Прилетело то оно прилетело ,а толку ? все равно пашет дыра.
env x='() { :;}; echo vulnerable' bash -c "ls"
Работает
Как и в некоторых других дисрах. пашет обходной маневр 2014-7169
На воне чего сабжевые заявления выглядят...
> Как и в некоторых других дисрах. пашет обходной маневр 2014-7169
> На воне чего сабжевые заявления выглядят...Прилетел "ещё CVE" - сделали "ещё фикс". Заявления Анонимов выглядят...
http://metadata.ftp-master.debian.org/changelogs/main/b/bash...
> arch .. дыра остаетсяМожно не беспокоиться, любой руткит сломается на арче при следующем обновлении (как и все остальное).
> Можно не беспокоиться, любой руткит сломается на арче при следующем обновлении (как
> и все остальное).Идея для руткитчиков - на лету патчить арчеводу ридми на апдейт, чтобы включал действия по приведению руткита в чувство. Арчеводы все-равно не разбираются для чего они фигачат черную магию, так что никакого подвоха 99% арчеводов не обнаружит.
Код руткита в readme, написанный на естественном языке программирования, и выполняющийся на биологическом компьютере -- мозге арчевода? Слава роботам!
Да уж побольше понимают чем большинсто убунтоидов. До арчвики остальным инструкция как до луны.
> Латание дыры в закрытой программев редких случаяю
> может произойти как до публикации инфы о
> ее существовании так и сразу же после, но обычно не происходит вовсе или происходит заметно позже обнародования независимыми источниками.
---Да, логика дырявая. Но _ровно_ такая же дырявая, как в исходном тексте.
Во-первых, все эти заявления сделаны на фоне неисправленной полностью дыры в баш.
Во-вторых, даже если бы дыра была исправлена, то можно было бы говорить лишь о хорошем примере оперативности опенсорсников
в-третьих, даже в этом случае, говорить, что все закрытые программы сливают по безопасности глупо. Многие из них реально безопасны и закрыты в т ч для безопасности Просто другой подход к защите. Для аудитов и сертификаций они код дают, а для прочих хакеров нет.
Т е просто маркетинговое заявление, не более.
>подчеркнул достоинства СПОога. 25 лет с критическим багом - это достойно
>>подчеркнул достоинства СПО
> ога. 25 лет с критическим багом - это достойноА я думал, что это фича. Этож как sql-инжект, проверил строку/экранировал спец символы - сформировал запрос, а так тупо отдавать данные на исполнение, до сих пор не понимаю причем тут баш.
>>>подчеркнул достоинства СПО
>> ога. 25 лет с критическим багом - это достойно
> А я думал, что это фича. Этож как sql-инжект, проверил строку/экранировал спец
> символы - сформировал запрос, а так тупо отдавать данные на исполнение,
> до сих пор не понимаю причем тут баш.Ещё раз: это не _тупое экранирование. Просмотра на 1-2 символа не достаточно, как мне кажется.
Там фактически нужно на стороне суб-шела исполнять передаваемые через окружение определения ф-ций в "песочнице", чтоб _реальный код не исполнялся, а только deffun-или-как-его-там. Или не передавать через окружение *вообще*. Или, как сделали сейчас, насколько я ничего не понимаю (нет, патчи я не читал), затыкать _прямое исполнение переданных обёртками-регулярками и готовиться к новым "прилетающим" обходам.
> ога. 25 лет с критическим багом - это достойноКак считал??
каждый год на стене ставил засечки, вчера посчитал :)зашёл в википедию и посмотрел год первого релиза и вычел из 2014
> каждый год на стене ставил засечки, вчера посчитал :)
> зашёл в википедию и посмотрел год первого релиза и вычел из 2014Я бы переспросил "релиз чего", а потом "а как проверял, что там дыра", но... смысл? Будешь автором непровененной(методика хлипковата) верхней оценки. Нижняя вверху в моём #63 = 12 лет без 2ух месяцев и 10 дней [если я с 60ричной арифметикой не].
насчёт "методика хлипковата" - согласен. но у нас же тут не НИИ :)
вот тут писали про 1.14.7 - http://www.opennet.me/openforum/vsluhforumID3/99034.html#22
> насчёт "методика хлипковата" - согласен. но у нас же тут не НИИ
> :)
> вот тут писали про 1.14.7 - http://www.opennet.me/openforum/vsluhforumID3/99034.html#22bash-1.14.0-1.14.1.diff.gz даёт "Thu Jun 2 09:36:36 1994". 20 лет с небольшим. Метод с засечками -- крутая :) археология. Академики, смогшие _собрать 1.14.0 и проверить наличие дыръ, впишут своё имя в. (павлин, выходи! мастера LFS-Fu также имеют щанс. Стоячая оваиця за сборку, на тех же условиях, для ARM/телефона.) Для _полной академичности нужен .spec или rules - _работающий в "настоящем". И да, кто там поближе, RMS-у скажите, чтоб всю историю в git выложил и подписал (&ключом не из 90-ых).
...На ibiblio.org/pub/historic-linux/distributions/ - 2002/2003 и _без исходников [навскидку].