Безопасность Linux и адекватность разработчиков поставлены под сомнение

Оказывается, майские праздники действуют расслабляюще не только на россиян, но и на международный коллектив разработчиков Linux. Еще 3 мая один из специалистов по компьютерной безопасности предупредил общественность, что очень близок к раскрытию критической уязвимости в известной программе обработки изображений ImageMagic. Последствия эксплуатации злоумышленниками могут быть очень тяжелыми.

4 мая был выложен эксплоит. Ситуация усугубляется не только тем, что ошибка в ImageMagic позволяет удаленное выполнение кода, но и тем, что этот пакет активно используется огромным количеством web-сайтов для обработки изображений, загружаемых пользователями. Казалось бы, время не ждет.

Прошло еще 2 дня. И как же отреагировали производители дистрибутивов, особенно тех, которые позиционируются как высококачественные и надежно защищаемые (Debian, RHEL и т.п.).

Разработчики Debian написали, что их не устраивают заплатки, предоставленные разработчиками ImageMagic. Свои заплатки они писать не будут и будут просто ждать. На 6 мая статус unfixed.

RHEL. Заплатки всё еще нет. Предложено ждать. Рекомендованы паллиативные меры.

Ubuntu. Пока даже не определились с подходящим разделом для багрепорта и не выяснили список подверженных версий.

Остальные дистрибутивы. Заплаток нет, когда появятся не сообщается.

Ваша оценка: Нет Средняя оценка: 3.8 (4 votes)
a

Опять-же. Какое отношение userspace тулза ImageMagick, которая есть в том числе и под венду, имеет к Linux ? Почему, облажались разработчики какой-то прикладной софтины, а в новости пишут "коллектив разработчиков Linux" ? Причём тут они ?

Ваша оценка: Нет Средняя оценка: 4.9 (10 votes)
a

А вообще, разработчики дебиана, что-то очень печалят меня своим отношением к багфиксам, сторонние заплатки их не устраивают, а свои они не пишут. То есть ни себе, ни людям. Замечательно. А не о**ели они там часом ? Временно принять кривые заплатки и подождать нормальных, религия запрещает ? Совсем недавно сообщество openwrt именно так вот и развалилось.

Ваша оценка: Нет Средняя оценка: 4.5 (2 votes)
a

Обидно за Debian.

Ваша оценка: Нет
3
Maks4l

Дебиан с Squeeze катится вниз.Седьмой выпуск был отвратителен,восьмой ненамного лучше.Я говорю именно о системе а не о DE.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

А что конкретно не так в Debian 7 и Debian 8 ?

Ваша оценка: Нет
3
Maks4l

Debian 7 перейдя на systemd всё-же оставил в пакетах систему инициализации init,что значительно замедлило запуск и привело к постоянным ошибкам инициализации,в логах это было видно.Debian8 идя на поводу Поттеринга,был вынужден сменить версии библиотек,сделав невозможным использование многих программ.

Ваша оценка: Нет
a

Но в Debian 7 дефолтная система — sysvinit ,и она вроде-бы работает неплохо для своих возможностей .

Ваша оценка: Нет
3
Maks4l

Ну да,а systemd-sysv проходя мимо,приклеился?

Ваша оценка: Нет
a

Это для Debian 8 зависимость .В 7-м его нет.

Ваша оценка: Нет
a

Даже если так, какие еще остались альтернативы? В других дистах в разы больше глюков.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Кстати, а что с ImageMagick под Windows?

Ваша оценка: Нет
3
Maks4l

Да,не переживайте,болячка позволяет выполнить код при обработке специально оформленных изображений в PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick.Это для сайтов проблема.

Ваша оценка: Нет
a

Остальные дистрибутивы. Заплаток нет, когда появятся не сообщается.

В арчике уже все залатали. С последним обновлением пришло.

Ваша оценка: Нет
11
pomodor

Что пришло-то? Заплатки с сайта ImageMagic "сомнительны с точки зрения эффективности защиты". Или арчеводам без разницы? .)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

я вот зашёл в твитю к сему вирий — делу, скачал его зеродей и запустил под сюзей. эффект полное зеро, а шумиху-то развели :D


SarK0Y

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.