Re: FW: Kernel dla sarge
Jak podają anonimowe źródła, przepowiedziano, że Marek Olejniczak napisze:
> >1.
> >http://kernel.debian.net/debian/pool/main/kernel-image-2.6.8-i386/
> Zajrzałem: tam są pakiety kernela deb 2.6.8 zbudowane 16 sierpnia 2005,
> czyli jest to oficjalne jądro 2.6 Debiana.
http://wiki.debian.org/DebianKernelSecurity
DebianKernelSecurity
The Debian Kernel Team owns security support for Debian kernels in
unstable and testing. Security fixes to kernels in stable are managed by
the Debian Security Team. Like with any other Debian packages, users
should not assume that all known security issues have been fixed in the
unstable and testing versions. Less severe issues may be committed into
svn but not uploaded until some more significant event triggers a
release. Fixes that change the ABI maybe delayed to avoid breaking an
existing release of DebianInstaller.
[...]
> Przeczytałem pierwszy link jaki wyrzuciło Google, a był to link
>
> http://lists.debian.org/debian-kernel/2005/10/msg00297.html
zgadza się
> Zajrzałem też na
[...]
> i wciąż nie rozumiem dlaczego uważa się, że debianowe jądro 2.6.8 jest
> bezpieczne. Z linku
> http://lists.debian.org/debian-kernel/2005/10/msg00297.html
> wynika tylko tyle, że niektóre z łat na dziury w kernelu 2.6.13.4 (który
> okazał się 10. pażdziernika 2005) przeniesiono do debianowego kernela
> 2.6.8 i te łaty umieszczono w Subversion.
Wynika z niego, że:
1. nie wszystkie poprawki wymagają portowania i jakaś szczególnie-
straszna-dziura w 2.6.13 nie musi w ogóle istnieć w 2.6.8
2. wersja w stable nie jest zapomniana, wbrew sugestiom
Dodatkowo - jeśli nie ukazała się wersja poprawiona, to znaczy
że żadna z tych dziur nie była wystarczająco poważna[*] zdaniem
security team. Ufasz tym ludziom z całą resztą swoich programów,
serwerów itp. (a jeśli nie ufasz, to co za różnica?)
[*] to oczywiście można interpretować conajmniej dwojako
i różnie się z tym czuć, ale widocznie nie pojawił się dotychczas żaden
exploit/wykorzystanie dziury jest możliwe w 1 przypadku na 10000.
[portowanie poprawek do wersji z sierpnia]
> To raczej niemożliwe,
Miałem zamiar raczej wskazać, że istnieje specjalna grupa, która
się tym zajmuje i że w ogóle te poprawki są gdzieś zbierane. Ale ok.
> chyba że założymy iż developerzy debiana potrafią
> podróżować w czasie ;-)
Ja potrafię, w jedną stronę, ale zawsze :P
> Od 16.sierpnia (daty utworzenia pakietów deb dla 2.6.8) pojawiło się 6
> komunikatów informujących o 11 błędach w kernelach serii 2.6.x, można to
> zobaczyc np. tu:
>
> http://www.frsirt.com/english/vuln.php?search=linux+kernel
Odfiltruj proszę te, które nie dotyczą 2.6.8. Potem te, które
są local denial of service while moonlight.
[...]
> We wspomnianym czasie Ubuntu (dystrybucja bazująca na debianie) wydała już
> 5 poprawionych wersji jądra, także jądra 2.6.8 ktore ma ubuntu 4.10.
Tego nie jestem pewien, ale czy akurat do jądra Ubutu nie wciska
tysięcy poprawek, żeby obsłużyć sterowniki NVidii, resierfs4, itp?
> Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8
> wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, a
> Debian nie wydał ani jednej poprawki.
To nie musi być to samo 2.6.8
> To samo pytanie można postawić w przypadku kernela 2.4.27
Można, ale osobiście drażni mnie ton tego wątku.
Pozdrawiam
PS. Sygnaturka się wylosowała chyba nawet stosowna:
--
Jacek Kawa **If you suspect a man, don't employ him,
and if ypu employ him, don't suspect him.**
Reply to: