Re: FW: Kernel dla sarge

To: debian-user-polish@lists.debian.org
Subject: Re: FW: Kernel dla sarge
From: Marek Olejniczak <marek@olmar.poznan.pl>
Date: Wed, 14 Dec 2005 00:28:31 +0100 (CET)
Message-id: <[🔎] Pine.LNX.4.62.0512132339150.30010@orion>
In-reply-to: <[🔎] 20051213203918.GA3364@finwe.eu.org>
References: <[🔎] 20051213203918.GA3364@finwe.eu.org>

On Tue, 13 Dec 2005, Jacek Kawa wrote:

1.
http://kernel.debian.net/debian/pool/main/kernel-image-2.6.8-i386/

Zajrzałem: tam są pakiety kernela deb 2.6.8 zbudowane 16 sierpnia 2005,czyli jest to oficjalne jądro 2.6 Debiana.


2. Nie wszystkie dziury dotyczące 2.6.X dotyczą 2.6.X-n


Słusznie.

Pierwsze z brzegu:

http://www.google.pl/search?q=sarge+debian+kernel+vulnerable

* [SECURITY] orinoco: Information leakage due to incorrect padding
  orinoco-info-leak.patch


Przeczytałem pierwszy link jaki wyrzuciło Google, a był to link

	http://lists.debian.org/debian-kernel/2005/10/msg00297.html

Zajrzałem też na

http://svn.debian.org/wsvn/kernel/people/horms/patch_notes/2.6-stable/2.6.13.4?op=file&rev=0&sc=0

i wciąż nie rozumiem dlaczego uważa się, że debianowe jądro 2.6.8 jestbezpieczne. Z linku http://lists.debian.org/debian-kernel/2005/10/msg00297.htmlwynika tylko tyle, że niektóre z łat na dziury w kernelu 2.6.13.4 (któryokazał się 10. pażdziernika 2005) przeniesiono do debianowego kernela2.6.8 i te łaty umieszczono w Subversion.

W jaki sposób łaty które znalazły się w Subversion w okolicy 10.października znalazły się w pakiecie kernela utworzonego 16. sierpnia?To raczej niemożliwe, chyba że założymy iż developerzy debiana potrafiąpodróżować w czasie ;-)

Od 16.sierpnia (daty utworzenia pakietów deb dla 2.6.8) pojawiło się 6komunikatów informujących o 11 błędach w kernelach serii 2.6.x, można tozobaczyc np. tu:


http://www.frsirt.com/english/vuln.php?search=linux+kernel

Nie wiem jakim cudem łaty powstałe po okresie utworzenia pakietów debdla 2.6.8 miałyby przeniknać do tych pakietów. A jesli tak było, todlaczego nie ma informacji o poprawkach do tego kernela na listachSecurity Advisories (http://www.us.debian.org/security/2005/)

We wspomnianym czasie Ubuntu (dystrybucja bazująca na debianie) wydała już5 poprawionych wersji jądra, także jądra 2.6.8 ktore ma ubuntu 4.10.

Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, aDebian nie wydał ani jednej poprawki.


To samo pytanie można postawić w przypadku kernela 2.4.27


Pozdr.

Marek

Reply to:

Follow-Ups:
- Re: FW: Kernel dla sarge
  - From: Mikolaj Golub <golub@inec.kharkov.com>
- Re: FW: Kernel dla sarge
  - From: Jacek Kawa <jfk@zeus.polsl.gliwice.pl>

References:
- Re: FW: Kernel dla sarge
  - From: Jacek Kawa <jfk@zeus.polsl.gliwice.pl>

Prev by Date: Re: [mydns-sql] usuniecie i/lub rekonfiguracja
Next by Date: [OT] Było: Kile + polskie fonty + polska lokalizacja - raz jeaszcze
Previous by thread: Re: FW: Kernel dla sarge
Next by thread: Re: FW: Kernel dla sarge
Index(es):
- Date
- Thread