А для конечного пользователя это разве важно? Для него главное, что на данный момент в системе, которой он пользуется, отсутствуют непропатченные уязвимости. А это значит, что этой системой пользоваться безопасней.
> Изучайте от о чем собираетесь спорить. apache.org был взломан через уязвимость в ядре OpenSSH
Вы сами-то хорошо изучили? Уязвимость в OpenSSH была использована уже локально для повышения привилегий:
After unsuccessfully attempting to get elevated privileges using an old installation of Bugzilla on apache.org, the cracker used a weakness in the ssh daemon (OpenSSH 2.2) to gain root privileges.
То есть изначально проникновение на сам сервер было осуществлено другим путём.
Также каким образом остальные 3 взлома связаны с «опенсорс-безопасностью»?
В общем, не позорьтесь. Вы ведь «Специалист по информационной безопасности», как никак.
Я ведь специально попросил именно подробности взломов. То есть как и через какую уязвимость. По вашим поисковым запросам выдаются простые новости о том, что эти сайты были взломаны. Если вы так хорошо владеете поисковыми системами, то не стесняйтесь, делитесь найденной информацией. Вы ведь всегда стараетесь подкреплять свои утверждения фактами, не так ли?
И, всё-таки, объясните, как взломы apache.org связаны с «опенсорс-безопасностью». Единственное, что сюда можно отнести — это дыра в OpenSSH десятилетней давности. Остальное — это неправильная конфигурация и XSS. XSS, к слову, не раз встречалась и на ресурсах Microsoft. И вы на основании этого судите об «опенсорс-безопасности» в целом? Смешно.
> А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.
Вы даже подробностей последних взломов не знаете и такое заявляете.
Вам известны подробности этого взлома и остальных? Виноват ли в этом именно OpenSource, а не безалаберность админов? А то интересно у вас получается: взломали сайт, имеющий отношение к OpenSource продукту, и вы тут же делаете выводы о безопасности OpenSource в целом.
Почему неправда? Скачанный файл сначала нужно запустить, но система прав просто не даст этого сделать без установленного бита исполнения x. А по умолчанию такой бит на стоит.
Вы что-то путаете. Обычно говорят по факту, что в Linux почти отсутствуют вирусы, а не то, что их там не может быть в принципе. Тем более в данном случае был целенаправленный взлом.
chmod +x virus, либо установить неподписанный пакет от неизвестного источника. Разве легче?Почему? Если шифрование производится на стороне клиента, то проверить можно.
А что ещё?
Вы сами-то хорошо изучили? Уязвимость в OpenSSH была использована уже локально для повышения привилегий:
То есть изначально проникновение на сам сервер было осуществлено другим путём.
Также каким образом остальные 3 взлома связаны с «опенсорс-безопасностью»?
В общем, не позорьтесь. Вы ведь «Специалист по информационной безопасности», как никак.
И, всё-таки, объясните, как взломы apache.org связаны с «опенсорс-безопасностью». Единственное, что сюда можно отнести — это дыра в OpenSSH десятилетней давности. Остальное — это неправильная конфигурация и XSS. XSS, к слову, не раз встречалась и на ресурсах Microsoft. И вы на основании этого судите об «опенсорс-безопасности» в целом? Смешно.
Вы даже подробностей последних взломов не знаете и такое заявляете.
secunia.com/advisories/product/32988/ — Unpatched 0% (0 of 142 Secunia advisories)