Комментарии 24
Не пользуйтесь бинарными дистрибутивами.
Заведите себе больше одного компьютера.
Держу 2 десктопа и 2 сервера на source-based и испытываю сложности только иногда с домашним десктопом ибо много экспирементирую и сижу на нестабильной ветке. Бинарные дистрибутивы не дают такой свежести пакетов и гибкости, увы.
Откройте себе binhost и аналоги.
То есть сделать себе свой собственный бинарный дистрибутив?
Подозреваю имели ввиду это, поправьте если ошибся.
с момента обнаружения уязвимости до выхода патча в среднем проходит почти три годаСтатистика — такая статистика: делать такую далекоидущую оценку по двум фиксам — это имхо верх идиотизма!
Граничит с взятием среднего от двух boolean (true и false) — в среднем получается и правда и ложь.
Я думаю они специально нашли два крайних случая чтобы показать как всё плохо. Единственное что они передёргивают, что это «среднее» время.
Вот как раз со средним временем всё в порядке.
Предположим, что у вас есть две системы: в одной все уязвимости закрываются через день и только парочка живёт по три года, в другой все уязвимости закрываются через год. Какая из них безопаснее?
Ответ: никакой разницы ибо обе никуда не годятся. Они обе могут быть взломаны злоумышленником в любой момент. Умереть можно только один раз.
А вот то, что обе уязвимости весьма и весьма непросто использовать там, где Linux, в общем-то только и используют (на сервере) — другой вопрос. PTRACE-уязвимость в этом смысле куда сурьёзнее.
Предположим, что у вас есть две системы: в одной все уязвимости закрываются через день и только парочка живёт по три года, в другой все уязвимости закрываются через год. Какая из них безопаснее?
Ответ: никакой разницы ибо обе никуда не годятся. Они обе могут быть взломаны злоумышленником в любой момент. Умереть можно только один раз.
А вот то, что обе уязвимости весьма и весьма непросто использовать там, где Linux, в общем-то только и используют (на сервере) — другой вопрос. PTRACE-уязвимость в этом смысле куда сурьёзнее.
А вот то, что обе уязвимости весьма и весьма непросто использовать там, где Linux, в общем-то только и используют (на сервере) — другой вопрос.
Да и на десктопе тоже (может быть это может сработать с флешкой, форматированной в ext4, но даже тут придется повозиться ибо с ext4 на внешних флешках все, насколько я знаю, не очень гладко)
Всё нормально с флешками и ext4. Журнал лишь отключить для лучшей производительности.
Я смутно помню что флешка c ext (3 или 4 не помню) у меня на десктопной Ubuntu монтироваться без дополнительных зуботычин не желала. Я решил не заморачиваться и переделал флешку обратно в FAT.
Но таки да, в принципе да, флеш с таким вот «заряженным» ext4 — вполне себе могла быть орудием пролетариата все эти три года.
Но таки да, в принципе да, флеш с таким вот «заряженным» ext4 — вполне себе могла быть орудием пролетариата все эти три года.
До первого компьютера с Windows
А ей и не надо «пререживать комп с Windows». Это прицельный булыжник, который оставляется вблизи мест обитания любопытной линуксоносной жертвы.
Конечно, такой сценарий предполагает наличие еще одной уязвимости — в wetware жертвы. Однако, практика показывает что у большинства людей (даже бородатых дяденек с подготовкой в области ИБ) желание узнать «что же на флешечке со стразиками и котиком» легко пересиливает здравый смысл и чувство самосохранения.
Конечно, такой сценарий предполагает наличие еще одной уязвимости — в wetware жертвы. Однако, практика показывает что у большинства людей (даже бородатых дяденек с подготовкой в области ИБ) желание узнать «что же на флешечке со стразиками и котиком» легко пересиливает здравый смысл и чувство самосохранения.
Боже, какая махровая заказуха от Trustwave! Никогда не стоит доверять этой шарашке.
Вот поэтому я и предпочитаю rolling-релиз дистрибутивы
А есть разница? Патчи безопасности в обычных бинарных дистрах имхо накатываются так же оперативно, как и выпускаются новые релизы с этими патчами в rolling. Другое дело source-based. Кинул ебилд в оверлей, скачал патчик, все, у тебя готов свой собственный релиз, который через binhost разливается на все нужные хосты.
Не стоит ныть «аааа, ядро уязвимо! мы скоро все умрём!». Беспокоит проблема? Patch и make вам в помощь. А если мешает лень, то может не такая уж и критическая уязвимость?
«А как же моя бабушка? Она не умеет собирать ядро!»
А ваша бабушка умеет файлы использовать в качестве блочных устройств? Да и на флешках такая fs будет жить до первого компьютера с Windows.
«А как же моя бабушка? Она не умеет собирать ядро!»
А ваша бабушка умеет файлы использовать в качестве блочных устройств? Да и на флешках такая fs будет жить до первого компьютера с Windows.
>: с момента обнаружения уязвимости до выхода патча в среднем проходит почти три года
Вот насчет в среднем не понял: значит должны быть уязвимости, которые должны фиксится больше чем три года, причем их должно быть довольно много. Что это игра со статистикой? заказуха от микрософта?
Есть в отчете такие уязвимости?
Вот насчет в среднем не понял: значит должны быть уязвимости, которые должны фиксится больше чем три года, причем их должно быть довольно много. Что это игра со статистикой? заказуха от микрософта?
Есть в отчете такие уязвимости?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
История о трёх уязвимостях ядра