https://www.opennet.ru/openforum/vsluhforumID3/67669.html Компания Red Hat опубликовала (http://www.awe.com/mark/blog/20100601.html) отчет (http://www.redhat.com/pdf/security/RHEL4_RiskReport_5yr_wp_1619397_0310_ma_web.pdf) (PDF, 1.4 Мб) с анализом уязвимостей, исправленных в дистрибутиве Red Hat Enterprise Linux 4 за последние пять лет. В отчете поднимается больная тема - скрытое устранение уязвимостей в различных программах. По данным Red Hat для 52% из исправленных в RHEL 4 уязвимостей изначально информация не была публично обнародована разработчиками, в среднем данные по этим уязвимостям стали известны общественности только через 22 дня после того, как работники Red Hat уже имели информацию об их наличии.<br><br><br>Всего за 5 лет существования в базовой поставке разных сборок дистрибутива было найдено критических уязвимостей:<br><br><br>- Enterprise Linux 4 AS (установка по умолчанию) &#8212; 14<br>- Enterprise Linux 4 WS (установка по умолчанию) &#8212; 183<br>- Enterprise Linux 4 AS (все доступные пакеты) &#8212; 187<br><br><br><br><br><br>Распределение критическ...<br><br>URL: http://www.awe https://www.opennet.ru/openforum/vsluhforumID3/67669.html#23 Fri, 04 Jun 2010 07:31:49 GMT Ссылки про поддержку дистрибутивов и её работу:<br><br>Сравнение техподдержек Canonical, Novell и Red Hat: http://wiki.linuxformat.ru/index.php/LXF95:Ни_секунды_простоя<br><br>Сроки исправления уязвимости в репозитариях приложений различных дистрибутивов: http://wiki.linuxformat.ru/index.php/LXF94:Супертест_дистрибутивов#.D0.A1.D0.BA.D0.BE.D1.80.D0.BE.D1.81.D1.82.D1.8C_.D0.B8.D1.81.D0.BF.D1.80.D0.B0.D0.B2.D0.BB.D0.B5.D0.BD.D0.B8.D1.8F_.D0.BE.D1.88.D0.B8.D0.B1.D0.BE.D0.BA<br><br>"Fedora &#8211; единственный поставщик, у которого есть оправдание медленной реакции, поскольку при исправлении этой проблемы команда распознала другую, которую упустили все остальные, и другим поставщикам позже пришлось выпускать заплатку для CVE-2006-3467."<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#21 Thu, 03 Jun 2010 20:55:57 GMT "Во все дыры поимеют" думаю, не потому, что обновления выпукаются поздно, а потому, что они выпускаются три раза в неделю :-)<br>Статистика отличная! Оказывается, мой Linux 2006 года с обновляемыми самостоятельно программами не будет взломан! Критических уязвимотей у почти всех этих программ - 0... 52% уязвимостей были обнародованы почти через месяц после того, как насчёт их решения обратятся к специалистам Ред Хат. Уверен, 50% из них - в продуктах Mozilla. Сообщество Fedora и Red Hat поэтому и быстрее других.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#20 Thu, 03 Jun 2010 18:52:43 GMT Это уже более внятный ответ. я ни у тех ни у других не покупал, поэтому и интересуюсь.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#18 Thu, 03 Jun 2010 16:38:45 GMT Месяцы :(<br>На моей памяти было несколько случаев, когда (невовремя выпущенная) заплатка порождала сама новые проблемы после своего выпуска.<br>А бедные юзеры ее от безысходности ставили сами.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#15 Thu, 03 Jun 2010 16:21:23 GMT &gt;Во-во. Причем если бы они это сразо говорили, так они это говорят <br>&gt;когда уже вышли все разумные сроки. <br><br>Они любят ИБД. Если сильно повезет (==знаете кого дергать или знакомые есть) - у вас даже какиенить там логи попросят, etc. Дальше правда процесс один хрен начинает буксовать, видимо индусской квалификации как-то не очень хватает на мало-мальски оперативную идентификацию проблемы и тем более ее фиксинг. В итоге - или проблема решается вами самими :D или не решается никак, по крайней мере в какие-то раумные и вменяемые сроки (порядка месяца, например). Глядя на редхатовцев есть большие сомнеия что они хотя-бы теоретически способны на такое же раздолбайски-пофигистичное отношение к клиентам.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#13 Thu, 03 Jun 2010 13:38:52 GMT &gt;Я видел как MSовская поддержка работает. Даже энтерпрайзных продуктов. Суть сводится к <br>&gt;"ну вы там какнить вырулите сами, вы все-равно не сможем вам <br>&gt;помочь в разумные сроки". <br><br>Во-во. Причем если бы они это сразо говорили, так они это говорят когда уже вышли все разумные сроки.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#12 Thu, 03 Jun 2010 13:38:04 GMT А какая разница? Если даже допустить что fi ее не покупал, менее деpьмовой она от этого не станет. Да, я покупал.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#11 Thu, 03 Jun 2010 13:29:19 GMT &gt;А ты хоть у кого нибудь из них поддержку покупал? или просто мелим языком <br><br>Я видел как MSовская поддержка работает. Даже энтерпрайзных продуктов. Суть сводится к "ну вы там какнить вырулите сами, вы все-равно не сможем вам помочь в разумные сроки". Проблемы - видел. А вот чтобы МСовская поддержка с мало-мальски серьезными проблемами бы справилась - не видел.<br> https://www.opennet.ru/openforum/vsluhforumID3/67669.html#10 Thu, 03 Jun 2010 13:28:13 GMT &gt; (среднее время выхода обновления - 1 день) <br><br>MS, учитесь! Это вам не месяц бакланить пока всею юзеров во все дыры поимеют! :))))<br>