Безопасность Linux и адекватность разработчиков поставлены под сомнение

Оказывается, майские праздники действуют расслабляюще не только на россиян, но и на международный коллектив разработчиков Linux. Еще 3 мая один из специалистов по компьютерной безопасности предупредил общественность, что очень близок к раскрытию критической уязвимости в известной программе обработки изображений ImageMagic. Последствия эксплуатации злоумышленниками могут быть очень тяжелыми.

4 мая был выложен эксплоит. Ситуация усугубляется не только тем, что ошибка в ImageMagic позволяет удаленное выполнение кода, но и тем, что этот пакет активно используется огромным количеством web-сайтов для обработки изображений, загружаемых пользователями. Казалось бы, время не ждет.

Прошло еще 2 дня. И как же отреагировали производители дистрибутивов, особенно тех, которые позиционируются как высококачественные и надежно защищаемые (Debian, RHEL и т.п.).

Разработчики Debian написали, что их не устраивают заплатки, предоставленные разработчиками ImageMagic. Свои заплатки они писать не будут и будут просто ждать. На 6 мая статус unfixed.

RHEL. Заплатки всё еще нет. Предложено ждать. Рекомендованы паллиативные меры.

Ubuntu. Пока даже не определились с подходящим разделом для багрепорта и не выяснили список подверженных версий.

Остальные дистрибутивы. Заплаток нет, когда появятся не сообщается.

field_vote: 
Ваша оценка: Нет Средняя: 3.8 (4 оценки)
Дистрибутивы: 

Комментарии

Опять-же. Какое отношение userspace тулза ImageMagick, которая есть в том числе и под венду, имеет к Linux ? Почему, облажались разработчики какой-то прикладной софтины, а в новости пишут "коллектив разработчиков Linux" ? Причём тут они ?

Оценка: 
Средняя: 4.9 (10 оценки)

А вообще, разработчики дебиана, что-то очень печалят меня своим отношением к багфиксам, сторонние заплатки их не устраивают, а свои они не пишут. То есть ни себе, ни людям. Замечательно. А не о**ели они там часом ? Временно принять кривые заплатки и подождать нормальных, религия запрещает ? Совсем недавно сообщество openwrt именно так вот и развалилось.

Оценка: 
Средняя: 4.5 (2 оценки)

Обидно за Debian.

Оценка: 
Пока без оценки

Дебиан с Squeeze катится вниз.Седьмой выпуск был отвратителен,восьмой ненамного лучше.Я говорю именно о системе а не о DE.

Оценка: 
Средняя: 5 (1 оценка)

А что конкретно не так в Debian 7 и Debian 8 ?

Оценка: 
Пока без оценки

Debian 7 перейдя на systemd всё-же оставил в пакетах систему инициализации init,что значительно замедлило запуск и привело к постоянным ошибкам инициализации,в логах это было видно.Debian8 идя на поводу Поттеринга,был вынужден сменить версии библиотек,сделав невозможным использование многих программ.

Оценка: 
Пока без оценки

Но в Debian 7 дефолтная система — sysvinit ,и она вроде-бы работает неплохо для своих возможностей .

Оценка: 
Пока без оценки

Ну да,а systemd-sysv проходя мимо,приклеился?

Оценка: 
Пока без оценки

Это для Debian 8 зависимость .В 7-м его нет.

Оценка: 
Пока без оценки

Даже если так, какие еще остались альтернативы? В других дистах в разы больше глюков.

Оценка: 
Средняя: 5 (1 оценка)

Кстати, а что с ImageMagick под Windows?

Оценка: 
Пока без оценки

Да,не переживайте,болячка позволяет выполнить код при обработке специально оформленных изображений в PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick.Это для сайтов проблема.

Оценка: 
Пока без оценки

Остальные дистрибутивы. Заплаток нет, когда появятся не сообщается.

В арчике уже все залатали. С последним обновлением пришло.

Оценка: 
Пока без оценки

Что пришло-то? Заплатки с сайта ImageMagic "сомнительны с точки зрения эффективности защиты". Или арчеводам без разницы? .)

Оценка: 
Средняя: 5 (1 оценка)

я вот зашёл в твитю к сему вирий — делу, скачал его зеродей и запустил под сюзей. эффект полное зеро, а шумиху-то развели :D


SarK0Y

Оценка: 
Средняя: 1 (1 оценка)

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.