Меня смущает качество кода когда в маленьком куске кода ядра Linux уязвимостей в разы больше чем в другом гораздо более объемном куске кода WS 2008. Это говорит о том откуда у разработчиков Linux растут руки. Или вечные обновления это и есть стиль опенсорса? А о том что для развертывания обновления нужно приостановить работу бизнес приложений вам идея в голову не пришла?
А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.
Вы изучите что ли как работает переменная path под windows и как получается подмена библиотек. Большинство пользователей держит папки расшаренные через сеть так что DLL можно подсунуть и туда.
Вы что то не рассказали мне что же такое уязвимость с угрозой удаленного доступа.
Как разберетесь с этими вопросами пойдите помойте рот. Культурный вы наш. А то блякать в интеренете вы смелы.
Раскройте как мне тайну, расскажите что такое уязвимости угрожающие удаленным доступом?
Вам не приходило в голову что то что вы пишете это стандартная социальная инженерия? Привести пользователя и заставить открыть файл чтобы ЛОКАЛЬНОЕ ПРИЛОЖЕНИЕ выполнило код. С таким же успехом можно и в домашнюю директорию подложить DLL. Где здесь удаленность?
Заподозрить администраторов linux.com, kernel.org, apache.org, Redhat и прочих светочей опенсорса в безолаберности у меня рука не подымется. Иначе придется сделать смелый вывод что остальные админы из этой популяции еще более безолаберны и бесполезны.
Если уж этих поломали то крикливой толпе их последователей вообще расчитывать не на что.
> Для честного сравнения надо брать последние версии ОС. То, что какая-то компания не может разродиться очередным мажорным апдейтом — это исключительно её собственные проблемы (вернее, её клиентов).
Вот уж посмешили. Завтра MS выпустит новую ОС и скажет что она абсолютно безопасна ибо в ней не найдено ошибок. И следуя вашей логике будет права. А то что ОС никто еще не тестировал это не важно, вам ведь самое новое подавай. Надеюсь вы осознали какую глупость только что сморозили.
Читайте приведенные адвайзери и наконец включите мозг. Нет там уязвимости с удаленным исполнением кода.Специально для таких как вы я выделил важное:
This can be exploited to load arbitrary resources by tricking a user into opening a file located on a remote WebDAV or SMB share with certain applications.
This can be exploited to load arbitrary libraries by tricking a user into e.g. opening CAMP, CDMP, GMMP, or ICC Profile (.icm and .icc) files located on a remote WebDAV or SMB share.
Перевожу для вас ибо вы видать английский не осилили. Нужно заставить пользователя открыть файл лежаший на удаленном хранилище определенным приложением.
Где тут удаленная уязвимость с исполнением кода?
Опять опозорились эксперт вы наш опенсорсный. Читали бы факты перед тем как их приводить.
Для честного сравнения надо брать ОС примерно одного времени выпуска.
Windows Server 2008 был выпущен 27 февраля 2008 а Red Hat Enterprise Linux 5 вышел 15 марта 2007. Итого имеем разницу в 1 год. Так что сравнение вполне корректное.
И почему то выходит что уязвимостей в RHEL 5 получается в 5 раз больше чем в Windows Server? Разница в один год по возрасту не объясняет такой огромной разницы по уязвимостям.
В RHEL 6 вышел 10 декабря 2010 и уже нашли уязвимостей 484 уязвимостей всего то за 10 месяцев.
Качество кода поражает воображение. RedHat пишет быстро, грязно и постоянно затыкает дыры. Отличный поставщик ИТ решений. Настоящая опенсорс безопасность.
Или опять будете рассказывать с фанатским блеском что очередной взлом не считается? :)
Я говорил что взломы опенсорса будут нарастать. А вы таки упирались что не будут. Вот вам и результат.
Лучше бы шли работу над ошибками в опенсорсном коде делать вместо того, чтобы никому не нужные ценные указания раздавать.
А может на досуге изучите SDL от Microsoft и узнаете как безопасный код писать чтобы вот таких постыдных инцидентов как с kernel.org, apache.org, linux.com, linuxfoundation.com и redhat.com не происходило?
Сказать по теме взлома что то умное вам слабо, но очень хочется?
Признаете что уязвимостей в Linux больше зато и они не критические потому что могут привести к DoS. А вам не приходило в голову что одной и категорий инфобезопасности является отказоустойчивость? Так же не думалили ли вы о том что уязвимости можно использовать цепочкой?
И при этом веруете что система в которой больше уязвимостей безопаснее чем так в которой меньше. Опенсорсная логика однако.
Разберитесь с вероятностью экспрлоитабельности и тогда может поймете что у уязвимостей есть рейтинг и их исправляют по очереди.
Так же если перестанете передергивать мои слова может до вас дойдет что я говорю о том что опенсорсу нужна методика иначе так и будет лидировать по количеству уязвимостей.
А фанатство с криками зато исправляем быстрее и они у нас не критические выглядит глупо.
Может лучше начать код писать и тестировать качественнее?
Теория и практика разные вещи. В теории можно сделать несколько миллиардов прогонов мутаций данных, выполнить фьюзинг и найти подавляющее большинство ошибок связанных с неправильной обработков. В реальности никто так не делает ибо ресурсов требуется огромное количество. Обычно ограничиваются 500000 прогонов фьюзера.
А тем временем ОС становится популярнее и появляется смысл ее исследовать и находить уязвимости. Так что спад врядли будет заметным.
А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.
Вы что то не рассказали мне что же такое уязвимость с угрозой удаленного доступа.
Как разберетесь с этими вопросами пойдите помойте рот. Культурный вы наш. А то блякать в интеренете вы смелы.
Вам не приходило в голову что то что вы пишете это стандартная социальная инженерия? Привести пользователя и заставить открыть файл чтобы ЛОКАЛЬНОЕ ПРИЛОЖЕНИЕ выполнило код. С таким же успехом можно и в домашнюю директорию подложить DLL. Где здесь удаленность?
Зачем новый термин изобретать пытаетесь?
Если уж этих поломали то крикливой толпе их последователей вообще расчитывать не на что.
Вот уж посмешили. Завтра MS выпустит новую ОС и скажет что она абсолютно безопасна ибо в ней не найдено ошибок. И следуя вашей логике будет права. А то что ОС никто еще не тестировал это не важно, вам ведь самое новое подавай. Надеюсь вы осознали какую глупость только что сморозили.
Читайте приведенные адвайзери и наконец включите мозг. Нет там уязвимости с удаленным исполнением кода.Специально для таких как вы я выделил важное:
This can be exploited to load arbitrary resources by tricking a user into opening a file located on a remote WebDAV or SMB share with certain applications.
This can be exploited to load arbitrary libraries by tricking a user into e.g. opening CAMP, CDMP, GMMP, or ICC Profile (.icm and .icc) files located on a remote WebDAV or SMB share.
Перевожу для вас ибо вы видать английский не осилили. Нужно заставить пользователя открыть файл лежаший на удаленном хранилище определенным приложением.
Где тут удаленная уязвимость с исполнением кода?
Опять опозорились эксперт вы наш опенсорсный. Читали бы факты перед тем как их приводить.
Посему мой ответ был всего лишь реакцией на его попытку сказать мне что делать.
Windows Server 2008 был выпущен 27 февраля 2008 а Red Hat Enterprise Linux 5 вышел 15 марта 2007. Итого имеем разницу в 1 год. Так что сравнение вполне корректное.
И почему то выходит что уязвимостей в RHEL 5 получается в 5 раз больше чем в Windows Server? Разница в один год по возрасту не объясняет такой огромной разницы по уязвимостям.
В RHEL 6 вышел 10 декабря 2010 и уже нашли уязвимостей 484 уязвимостей всего то за 10 месяцев.
secunia.com/advisories/product/32988/
Качество кода поражает воображение. RedHat пишет быстро, грязно и постоянно затыкает дыры. Отличный поставщик ИТ решений. Настоящая опенсорс безопасность.
И заодно ранняя профилактика осеннего обострения конспирологий и маний мирового заговора. А то уже началось. :)
> не спроста в последнее время онпенсорс атакауют, кто-то чего-то боится.
> Два сайта. Оба посвящены линуксу. «Это жжжжжж… не спроста»
Или опять будете рассказывать с фанатским блеском что очередной взлом не считается? :)
Я говорил что взломы опенсорса будут нарастать. А вы таки упирались что не будут. Вот вам и результат.
Лучше бы шли работу над ошибками в опенсорсном коде делать вместо того, чтобы никому не нужные ценные указания раздавать.
А может на досуге изучите SDL от Microsoft и узнаете как безопасный код писать чтобы вот таких постыдных инцидентов как с kernel.org, apache.org, linux.com, linuxfoundation.com и redhat.com не происходило?
Сказать по теме взлома что то умное вам слабо, но очень хочется?
Признаете что уязвимостей в Linux больше зато и они не критические потому что могут привести к DoS. А вам не приходило в голову что одной и категорий инфобезопасности является отказоустойчивость? Так же не думалили ли вы о том что уязвимости можно использовать цепочкой?
И при этом веруете что система в которой больше уязвимостей безопаснее чем так в которой меньше. Опенсорсная логика однако.
Так же если перестанете передергивать мои слова может до вас дойдет что я говорю о том что опенсорсу нужна методика иначе так и будет лидировать по количеству уязвимостей.
А фанатство с криками зато исправляем быстрее и они у нас не критические выглядит глупо.
Может лучше начать код писать и тестировать качественнее?
Бизнес модель на отдаче чужого трафика не особенно прибыльна. Значит деньгам там взяться не откуда.
Опять же задача довольно ограничена поэтому полноценный Windows Server там поднимать не выгодно.
А теперь раскройте тему как же так вышло со взломом linux.com и linuxfoundaton.com?
Или это тот самый безупречный опенсорс стиль?
А тем временем ОС становится популярнее и появляется смысл ее исследовать и находить уязвимости. Так что спад врядли будет заметным.
Или теперь во всем будет виновата Joomla?