Re: Problemi di sicurezza ?

To: debian-italian@lists.debian.org
Subject: Re: Problemi di sicurezza ?
From: Davide Prina <davide.prina@gmail.com>
Date: Fri, 28 Aug 2015 19:32:06 +0200
Message-id: <[🔎] 55E09B16.2000507@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 55E08A8B.9060308@fastwebnet.it>
References: <[🔎] 55E08A8B.9060308@fastwebnet.it>

On 28/08/2015 18:21, Portobello wrote:

Utilizzo Debian 8.1 Jessie su Pc Amd64. Aggiornato ogni giorno.

  check-support-status


non conoscevo questo comando e il pacchetto relativo, interessante

* Sorgente:webkitgtk
   Dettagli: No security support upstream and backports not feasible,
only for use on trusted content
   Pacchetti binari affetti:
   - libjavascriptcoregtk-3.0-0:amd64 (versione installata: 2.4.8-2)
   - libwebkitgtk-3.0-0:amd64 (versione installata: 2.4.8-2)
   - libwebkitgtk-3.0-common (versione installata: 2.4.8-2)

Vorrei capire se questi messaggi sono gravi.


dipende

Ci sono delle vulnerabilita' di cui preoccuparsi ?

questo programma elenca solo i pacchetti che non avranno nessunaggiornamento di sicurezza per la normale via se viene scoperta qualchefalla e che probabilmente non sono più mantenuti upstream (chirealizza/mantiene il software) e/o da un manutentore (il DD che mantieneil pacchetto Debian).

Anche perche' questi pacchetti hanno molte dipendenze e non li posso
rimuovere dal mio sistema.

infatti, anche a me su Stretch ne sono usciti un po', alcuni direiimportanti.

Se i programmi da cui dipendono i pacchetti li usi solo internamente,non per andare su internet, collegarti ad altri PC non sotto il tuocontrollo, ... (anche se questo non è così facile da capire sempre),allora le tue preoccupazioni possono essere limitate... unmalintenzionato prima deve accedere al tuo PC per poi poter usareun'eventuale falla non chiusa da nessuno.

Se invece li usa anche esternamente al tuo ambiente sicuro (tuo PC o tuarete), allora è meglio cercare un'alternativa.


Come fare a scoprirlo?
Ad esempio se prendi il primo pacchetto e fai:

$ apt-cache rdepends libjavascriptcoregtk-3.0-0
[...]
  rhythmbox-plugins
  rhythmbox-plugin-cdrecorder
  rhythmbox
[...]

da qui capisci che rhythmbox usa quel pacchetto.

Se usi rhythmbox solo per ascoltare musica in locale, allora i rischisono limitati. Se invece lo usi per ascoltare radio su internet, allorai rischi potrebbero essere maggiori... sempre che quella libreriarhythmbox la usi per i collegamenti radio e non solo in locale...

Potresti vedere se il programma che usi permette di avere un'alternativaa quella libreria:

$ apt-cache show rhythmbox
[...]

Depends: [...], libgudev-1.0-0 (>= 146), libjavascriptcoregtk-3.0-0 (>=1.5.1), libjson-glib-1.0-0 (>= 0.12.0), [...]

[...]

come si può vedere, in questo caso, non c'è un'alternativa.

Se ci fosse avresti visto un elenco di 2 o più elementi separati dapipe: '|'

Es:

Depends: [...], libgudev-1.0-0 (>= 146), libjavascriptcoregtk-3.0-0 (>=1.5.1) | libjavascriptcorepippo-1.0.0 (>= 1.0.0), libjson-glib-1.0-0 (>=0.12.0), [...]

Se fosse stato così potevi installare libjavascriptcorepippo-1.0.0 erimuovere libjavascriptcoregtk-3.0-0 (sempre se quest'ultima nonrisultasse necessaria per altri pacchetti di cui hai bisogno).


Altro metodo è cercare un'alternativa al programma.

Però c'è da dire alcune cose a riguardo:

1) se su un pacchetto o su una dipendenza viene trovato o segnalato unbug di sicurezza e non viene corretto, alla fine il pacchetto viene rimosso

2) se su quel pacchetto non è stata trovata nessuna falla di sicurezza èsicuro come gli altri


3) ogni pacchetto può avere delle falle di sicurezza non ancora trovate

4) non esiste nulla di sicuro al 100%, sei tu che devi decidere qual'èil grado di sicurezza che vuoi avere, che è consono con la tua attività

5) se un pacchetto non risulta in quella lista, non è detto che chi lomantiene sia upstream che il DD lo stiano mantenendo in modo attivo econtinuativo...

6) puoi realizzare una jail (gabbia/cella) da dove eseguire il programmao un sistema Debian parallelo con debootstrap da dove eseguire iprogrammi (magari lo crei, lo salvi e poi ad ogni utilizzo lo butti eripristini la copia salvata originaria...)


...

Però, ripeto, devi capire tu qual'è il livello di sicurezza che vuoi avere.

Per esempio se hai un laboratorio e vuoi evitare che ti rubino i CD/DVDin esso contenuto può risultare superfluo mettere una porta blindata (ilcosto è sproporzionato rispetto a quanto vuoi ottenere).


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Sistema operativo: http://www.it.debian.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

References:
- Problemi di sicurezza ?
  - From: Portobello <c.portobello@fastwebnet.it>

Prev by Date: Problemi di sicurezza ?
Next by Date: Errore xorg
Previous by thread: Problemi di sicurezza ?
Next by thread: debsecan [Era: Re: Problemi di sicurezza ?]
Index(es):
- Date
- Thread