Очередная дыра в поделии

Mazzy · 08-11-10 18:41:41

Svart Testare пишет:

MSE перехватывает этот эксплойт, так что снова кто-то поторопился с истерикой
Exploit:Win32/CVE-2010-3962.A

Да любой антивирус с проактивкой, наверное, перехватит такое.
Ну, Сварт, как же так? То, есть, если есть сигнатура, то эксплоит уже не эксплоит? big_smile
А как до линукса, так опилки летят далеко Как здесь все начинають баянить про дырявость линуха
Да это фейл со стороны МС однозначно. Уже неделю(!!!) висит дыра, а ее закрыть не могут. Зато МСЕ эксплоит блокирует, да big_smile

Редактировался Mazzy (08-11-10 18:45:58)

Mazzy · 08-11-10 19:00:14

Svart Testare пишет:

Почему не могут? В процессе разработки ПО есть ещё такие понятия как severity и schedule, но вы о них, видимо, ничего не знаете.

Сварт, это была проекция типичных для этого ресурса фраз с точностью до наоборот. Только обычно они линуха касаются, а тут и винда подтянулась big_smile Так блин, если Вы такие знающие, что же Вы на линух постоянно наезжаете? Там тоже есть свои списки первоочередных проблем, и баг при тыканьи мышкой в край экрана-ничто по сравнению с безопасностью.

nixadmin · 08-11-10 19:27:55

интересно, какой смысл блочить эксплоит?
насколько я понял он тупо демонстрационный и никакого вреда не несет. Вред будет если юзер откроет письмо или страницу содержащие зловредный код эксплуатирующий данную уязвимость... А так это выглядит как попытка скрыть проблему.

Я считаю что единственно верное решение - скорейший выпуск заплатки и распространение её через WU.

Mazzy · 08-11-10 19:43:09

Это говорит о Вашей фанатичности smile

Svart Testare пишет:

Вы не понимаете главного: в опенсорсе и линуксе в частности когда что-то фиксят, пусть даже и оперативно, количество новых багов не уменьшается - они продолжают вылазить как из рога изобилия.

Пруф??? Кол-во новых багов не уменьшается потому, что постоянно пихают что-то новое. Все новое глючит поначалу. Сравните хотя бы разницу между Виста-Семерка и Убунту 8.04-Убунту 10.10. Убунтовцы постоянно что-то новое суют в релизы. Что-то выпиили, что-то запилили. Отсюда и множество багов. А семерка менее баганутая потому, что основа, как ни крути-Виста. Принципиальные различия если и есть, то никак не видны обычному пользователю.

Добавлено спустя 03 мин 17 с:
Ну и да, времени на альфа-бета-гамма тесты у той же бунты-несколько месяцев, так как релизы не раз в 3 года. Винду же тестируют гораздо дольше. В этом минус линуха (в частности, Убунту).

usr_share · 08-11-10 19:50:16

Mazzy пишет:

В этом минус линуха (в частности, Убунту).

С этим соглашусь. Но если так сильно нужна стабильность, никто не мешает сидеть на LTS-версиях. К ним исправления багов идут не в течение 1 года, а в течение трёх лет для десктопа и пяти для сервера.

nixadmin · 08-11-10 19:50:22

Mazzy пишет:

Ну и да, времени на альфа-бета-гамма тесты у той же бунты-несколько месяцев, так как релизы не раз в 3 года. Винду же тестируют гораздо дольше. В этом минус линуха (в частности, Убунту).

Ну тут не совсем согласен. Новые релизы это кнешно да, 6 месяцев не много. Но есть у той же убунты LTS который со временем обтачивается, да и на убунте свет клином не сошёлся - Debian Stable вылизан очень даже хорошо.

Mazzy · 08-11-10 20:00:54

Я пользуюсь Убунтой, а потому не стану говорить о других дистрибутивах, не знаю. ЛТС-это хорошо, но все равно после выхода не-лтс основные усилия идут на обкатку нового дистрибутива.
Мне, например, интересно, чего же там нового отвалилось/прикрутили, потому всегда сижу на последних версиях. Посему ССЗБ big_smile Но это на любителя. Хотя то, что использую я, с трудом можно назвать Убунту. Все равно перепиливаю весь внешний вид/оболочки.

nixadmin · 08-11-10 20:03:13

Svart Testare, я уже писал выше что дистров великое множество. Одни строятся с прицелом на самый новый софт, другие с прицелом на стабильность. Надо выбирать под задачи.

Mazzy · 08-11-10 20:04:29

Svart Testare пишет:

Вот я про это и говорю - не только поначалу, но и постоянно так в линуксе. Ибо нет грамотно поставленного процесса разработки и тестирования, в результате которого можно было бы ожидать стабильный продукт.

Почему же нет тестирования, есть оно. А пользователи-то зачем?? big_smile Процесс разработки как раз немногим уступает МС, а вот на тестирование банально не хватает времени. Поэтому есть дистрибутивы, в простонародье называемые "черновыми". То есть те, в которых кардинально что-то меняется. К примеру, та же 10.10. А 11.04 вообще будет чем-то новым, судя по всему.

SemyonKozakov · 08-11-10 20:10:24

Svart Testare пишет:

Вот я про это и говорю - не только поначалу, но и постоянно так в линуксе. Ибо нет грамотно поставленного процесса разработки и тестирования, в результате которого можно было бы ожидать стабильный продукт.

Опять газифцируем, мощненько так. Факты, сэр (с)

nixadmin · 08-11-10 20:17:29

Svart Testare пишет:

Да зачем дистры? Возьмите только голое ядро — там ассортимент багов предостаточный big_smile

расскажите мне об открытых уязвимостях/глюках в 2.6.36 (оно сейчас Latest Stable).

Mazzy · 08-11-10 20:31:09

Svart Testare пишет:

Расскажите нам как в линуксе проходит процесс тестирования

Господи, а что же тут не понятно? Альфа-версия минус найденные баги=Бета-версия
Бета-версияминус еще баги=кандидат-релиз
Кандидат-релиз минус остаток багов=релиз.
Высшая математика smile

SemyonKozakov · 08-11-10 20:31:38

Svart Testare пишет:

Расскажите нам как в линуксе проходит процесс тестирования — поэтапно, в подробностях.

Великий и УЖасный, не переводите стрелки. Раз говорите, что

Svart Testare пишет:

В линуксе же жопа.

То у вас должны быть факты!

Добавлено спустя 03 мин 35 с:

Svart Testare пишет:

Я же давал ссылку на securityfocus.com. Там очень удобно можно выбрать нужную версию ядра и посмотреть что за уязвимости.

Ссылки на уязвимости в 2.6.36. Желательно, незакрытые.

Lord_Evil · 08-11-10 22:03:14

msAVA пишет:

багов нет с 2006 года, т.е. уже 6 лет.

О.о долго считал?

Добавлено спустя 01 мин 38 с:

Svart Testare пишет:

Я же давал ссылку на securityfocus.com. Там очень удобно можно выбрать нужную версию ядра и посмотреть что за уязвимости.

Запостить сплоит виндового ядра, где дыра живет уже 20 лет?
Если кое-что, кое-где не отключить, то сплоит позволит целевому коду ебошить твой вИндус с правами system. Вероятно эта бага где-то уже обсуждалась тут или "там", но я вот код надыбал эксплуатации)

Rorschach · 08-11-10 22:41:13

msAVA пишет:

Да? Вот iptables, работает на уровне ядра, отвечает, понятно, за безопасность, багов нет с 2006 года, т.е. уже 6 лет.

Арифметика такая армфметика.

Редактировался Rorschach (08-11-10 22:41:35)

Форум StopLinux

Объявление

#26 08-11-10 18:41:41

Re: Очередная дыра в поделии

#27 08-11-10 19:00:14

Re: Очередная дыра в поделии

#28 08-11-10 19:27:55

Re: Очередная дыра в поделии

#29 08-11-10 19:43:09

Re: Очередная дыра в поделии

#30 08-11-10 19:50:16

Re: Очередная дыра в поделии

#31 08-11-10 19:50:22

Re: Очередная дыра в поделии

#32 08-11-10 20:00:54

Re: Очередная дыра в поделии

#33 08-11-10 20:03:13

Re: Очередная дыра в поделии

#34 08-11-10 20:04:29

Re: Очередная дыра в поделии

#35 08-11-10 20:10:24

Re: Очередная дыра в поделии

#36 08-11-10 20:17:29

Re: Очередная дыра в поделии

#37 08-11-10 20:31:09

Re: Очередная дыра в поделии

#38 08-11-10 20:31:38

Re: Очередная дыра в поделии

#39 08-11-10 22:03:14

Re: Очередная дыра в поделии

#40 08-11-10 22:41:13

Re: Очередная дыра в поделии

Подвал форума