Re: sudo ws root
On 2008.12.18 at 13:23:57 +0300, Alexey Pechnikov wrote:
> Hello!
>
> > > Так секьюрити апдейты должны быть как раз превентивной мерой.
> >
> > Race condititon получается.
> >
> > Что произойдет быстрее - багу обнаружат "хорошие парни", исправят,
> > выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат
> > "плохие парни" и проэксплойтят?
> >
> > Шансы на первое велики, но не 100%
>
> 100% и не будет. В конце концов, вооруженная группа захвата наверняка
> сможет успешно атаковать
Вопрос не в вооруженной группе. Вопрос в китайском спаммере.
То что китайский спаммер читает багтрак и узнает о дырке в openssh
на некоторое время раньше, чем большинство адаминов я уверен.
Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
прочитаешь debian-announce и поставить апдейт.
>
> > Вообще говоря, случай практически достижимый. Технологии software
> > proving существует. И, например, французы там, где пару миллионов
> > потратить на это не жалко, их применяют. В системе управления парижским
> > метро, или в ракетах Arian (после того, как оно однажды гробанулось
> > из-за софтверного бага).
>
> Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh -
> дешевле выйдет физический
Речь идет не о сумме на взлом, а о сумме на доказательство что в
каких-то конкретных условиях openssh абсолютно безопасен. И чтобы
условия не были "сетевой кабель из компьютера выдернут".
Взлом - дешевле.
Reply to: