The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Представлена отдельная ветка ядра Linux с устранением уязвимостей

11.04.2016 22:21

Саша Левин (Sasha Levin), работающий в компании Oracle над технологией Ksplice, представил проект "linux-stable security tree", в рамках которого будут предоставлены урезанные варианты корректирующих выпусков для стабильных веток ядра Linux. От обычных обновлений ядра данные выпуски будут отличаться включением в состав только исправлений, связанных с устранением уязвимостей. Исправления ошибок, не связанных с безопасностью, в состав данных выпусков включаться не будут. Обновления с устранением уязвимостей будут выпускаться для ядер категории "stable" (не путать с "longterm" и "mainline"), в настоящий момент это ветка 4.4.x.

Целевой аудиторией новых security-веток являются пользователи сложных промышленных систем, в которых проверка полного сохранения работоспособности для обычных корректирующих выпусков ядра является слишком трудоёмкой задачей. Формирование сокращённых обновлений, включающих только устранение уязвимостей, поможет свести к минимуму возможные регрессивные изменения в таких системах без негативного влияния на безопасность. Для обычных пользователей список вошедших в новую ветку исправлений может служить индикатором связи вносимых в ядро исправлений с проблемами безопасности (разработчики ядра явно никак не помечают исправление уязвимостей, не разделяя обычные ошибки и проблемы безопасности).

  1. Главная ссылка к новости (https://www.mail-archive.com/l...)
  2. OpenNews: В ядре Linux обнаружена уязвимость, позволяющая поднять привилегии в системе
  3. OpenNews: Локальная root-уязвимость в ядре Linux
  4. OpenNews: В ядре Linux выявлена уязвимость, которая может привести к локальному повышению привилегий
  5. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  6. OpenNews: В подсистеме ptrace ядра Linux обнаружена уязвимость, позволяющая поднять свои привилегии в системе
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44221-linux
Ключевые слова: linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:32, 11/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    1) Саша Левин супер бизон.
    2) "пользователи сложных промышленных систем" верят, что супер бизон Саша Левин ничего не сломает при бекпортировании "только исправлений, связанных с устранением уязвимостей".
    Хочу пожелать удачи и Саше Левину, и пользователям.
     
     
  • 2.2, Аноним (-), 22:41, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > 1) Саша Левин супер бизон.

    Он руку набил готовя Ksplice-патчи для обновления ядра на лету. По сути Oracle просто будет делиться со всеми тем, что уже давно делает для себя.

    > 2) "пользователи сложных промышленных систем" верят, что супер бизон Саша Левин ничего не сломает при бекпортировании "только исправлений, связанных с устранением уязвимостей".

    Вместо бэкпортирования он будет отфильтровывать лишние патчи в уже готовых stable-обновлениях, оставляя только 2-3 патча, связанных с уязвимостями.

     
     
  • 3.4, Аноним (-), 22:48, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> отфильтровывать, оставляя только 2-3 патча, связанных с уязвимостями...

    Бог навстречу!

     
     
  • 4.35, Вареник (?), 00:18, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Флаг в руки :)
     
  • 2.26, Аноним (-), 14:15, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разве "пользователи сложных промышленных систем" нужна ветка стейбл с феерическим ядром 4.4? Свой локалхост с арчем сверсложной системой не считаю.
     
     
  • 3.40, Аноним (-), 10:46, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Так написано же "пользователи сложных промышленных систем". У тебя на локалхосте завод крутится? :)
     
  • 2.30, _KUL (ok), 14:56, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "пользователи сложных промышленных систем" даже и не подозревали, что их бизнес на столько зависит от некоего Саши =)
     
     
  • 3.34, Аноним (-), 17:41, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "Некий Саша" — один из основных апологетов фаззинг-тестирования ядра, наравне с Дейвом Джонсом. Без шуток, бизнес "пользователей сложных промышленных систем" очень сильно зависит от "некоего Саши", независимо от того, существует его ветка или нет.
     
     
  • 4.36, Вареник (?), 00:51, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "Некий Саша" — один из основных апологетов фаззинг-тестирования ядра, наравне с
    > Дейвом Джонсом. Без шуток, бизнес "пользователей сложных промышленных систем" очень сильно
    > зависит от "некоего Саши", независимо от того, существует его ветка или
    > нет.

    Моноядро как ни тестируй - все равно будут сюрпризы.

     

  • 1.3, Аноним (-), 22:46, 11/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Такую поддержку и продавать не стыдно, большая работа.
     
     
  • 2.5, Аноним (-), 22:51, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А вот покупать поддержку у рэкетиров — стыдно.
     
     
  • 3.7, Аноним (-), 23:30, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • –10 +/
    это вы о redhat? который не смог купить ksplice так стал гадить по мелочи, закрывая разбиение на патчи своего ядра. Хоть это возможно и явно не нарушает GPL, но отдает сильным душком.
     
     
  • 4.9, Anonymous1 (?), 23:37, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это вы о redhat? который не смог купить ksplice так стал гадить
    > по мелочи, закрывая разбиение на патчи своего ядра. Хоть это возможно
    > и явно не нарушает GPL, но отдает сильным душком.

    Кажется, все не совсем так было. Оракл вдруг начал бесплатную поддержку того, что продавал Редхат, давать. А бабки стриг не с поддержки, а с продаж БД Оракл, и ему хватало.
    После этого сильно огорченный РедХат слил все вносимые им патчи в один и убрал комментарии - что для чего, чтобы не нем верхом не ездили проворные парни из Оракла.

     
     
  • 5.10, Аноним (-), 23:58, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > После этого сильно огорченный РедХат слил все вносимые им патчи в один
    > и убрал комментарии - что для чего, чтобы не нем верхом
    > не ездили проворные парни из Оракла.

    А находчивые парни в красных шляпах код берут тоже "одним куском" и без комментариев? Или Юпитерам позволительно?


     
     
  • 6.12, Аноним (-), 00:26, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А какая разница? Судя по всему (я не знаком с ситуацией, просто разворачиваю только что прочитанную мысль, которую, надеюсь, правильно понял) Оракл же брал у красной шапки а не у тех, у кого брала красная шапка. Если так - то они ничего и не нарушили.
     
  • 6.14, Admino (ok), 02:53, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Находчивые парни в красных шляпах этот код пишут.
     
     
  • 7.16, Аноним (-), 03:47, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Находчивые парни в красных шляпах этот код пишут.

    Ну-ну, aж упарились в одиночку!

    https://www.opennet.dev/opennews/art.shtml?num=41685
    -----------
    Рейтинг вклада компаний в разработку (оценивается число патчей):
    Участник Вклад в ядра 3.11-3.18 Вклад в ядра 3.3-3.10 Вклад в ядра 2.6.30-2.6.35 Вклад в ядра 2.6.36-3.2
    Энтузиасты 12.4% 13.6% 19.1% 16.2%
    Intel 10.5% 8.8% 7.8% 7.2%
    Red Hat 8.4% 10.2% 12.0% 10.7%
    Linaro 5.6% 4.1% - 0.7%
    ------------

    А давайте, так теперь каждый делать будет?

    Не смущает, что  подход, когда берут чужой код, а доводку "отдают по желанию", типа "это, так уж и быть отдадим, а это нам самим пригодится!" – как-то уж сильно на BSD смахивает?
    Правда, вот ведь незадача – любителей "взять побольше, отдать поменьше!" и выезжать на чужой шее там, в BSD почему-то  еще больше.

     
     
  • 8.18, trader2k4 (ok), 08:14, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Энтузиасты Intel Red Hat Linaro ------------ Не вижу в списке Oracle ... текст свёрнут, показать
     
  • 8.27, Аноним (-), 14:21, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Третье место из более чем дофига И чего всем шапка не понравилась Деньги в кон... текст свёрнут, показать
     
  • 7.31, Аноним (-), 15:16, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Находчивые парни в красных шляпах этот код пишут.

    Очередной неосилятор ГПЛ?


     
     
  • 8.37, Вареник (?), 00:55, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В чем суть Вашей претензии RedHat пишет, много пишет, и этим много кто пользует... текст свёрнут, показать
     
  • 6.24, Модификатор (?), 10:04, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> После этого сильно огорченный РедХат слил все вносимые им патчи в один
    >> и убрал комментарии - что для чего, чтобы не нем верхом
    >> не ездили проворные парни из Оракла.
    > А находчивые парни в красных шляпах код берут тоже "одним куском" и
    > без комментариев? Или Юпитерам позволительно?

    Находчивые парни в красных шляпах вносят немалый вклад в этот код.

    А находчивым парням из Оракла никто не мешает брать код не у тех, кто в красной шляпе, а из ванильного ядра.
    В кусках любого удобного размера и с любыми комментариями.

     
  • 5.20, nonecto (?), 09:01, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    этот какел, который оральный, лутче ба зфс перелицензировал да бабла подбросил разрабам
     
     
  • 6.38, Вареник (?), 00:57, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > этот какел, который оральный, лутче ба зфс перелицензировал да бабла подбросил разрабам

    И прекратил преследование опенсорсного Андроида.

     
  • 3.8, Anonymous1 (?), 23:32, 11/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А разве рэкетир - это не тот человек, от предложения которого невозможно отказаться по внеэкономическим причинам?
    Или Вы расширенно толкуете все, что услышите, и считаете это нормальным?
     
     
  • 4.28, Аноним (-), 14:23, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, предложения государства относятся к экономическим причинам?
     
     
  • 5.32, Аноним (-), 15:28, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, предложения государства относятся к экономическим причинам?

    Так ведь все дело в размахе:
    тройка человек в подворотне, предлагающая купить кирпич – гопота.
    Та же тройка в деловых костюмах, настойчиво предлагающая взять  к̶и̶р̶п̶и̶ч̶ кредит или оплатить пошлину – очень даже наоборот, вполне уважаемые банкиры и чиновники.

     

  • 1.11, gogo (?), 00:10, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это чтобы скрипт-кидисам удобнее было ; )
     
  • 1.13, Аноним (-), 01:25, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будут на зло колоться, что бы баги оставить?
     
  • 1.17, Аноним (-), 07:44, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Достаточно бесполезная затея, ибо Линус не объявляет исправления в безопасности, т.к. считает их "обычными" заплатами.

    Па факту товарищам придётся просматривать _каждый_ божий коммит в mainline - пожелаем им удачи в этом быстроживущем начинании.

    Примерно через год-два или раньше они плюнут и забьют.

    // b.

     
     
  • 2.19, Аноним (-), 08:47, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > они плюнут и забьют

    oracle только этим и занимается

     

  • 1.23, DeerFriend (?), 09:53, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    http://www.opennet.dev/opennews/art.shtml?num=44184  вот же в соседней теме объяснили, почему это неправильно.
    Даже мелкомягкие уже поняли, что надо всех гнать ссаными тряпками на одну поддерживаемую rolling версию.
     
     
  • 2.25, Аноним (-), 12:58, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Угу, то-то в Арче постоянно что-то ломается.
     
     
  • 3.29, Аноним (-), 14:27, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Угу, то-то в Арче постоянно что-то ломается.

    Ломается меньше чем в других роллингах, да и причем тут дистр, если софт кривой пишут, который надо допиливать каждый раз?

     
     
  • 4.33, Аноним (-), 16:08, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И действительно, причем тут дистр.. Ты случайно не на lfs, гений?
     
  • 2.39, Вареник (?), 01:00, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > http://www.opennet.dev/opennews/art.shtml?num=44184  вот же в соседней теме объяснили,
    > почему это неправильно.
    > Даже мелкомягкие уже поняли, что надо всех гнать ссаными тряпками на одну
    > поддерживаемую rolling версию.

    Без разницы какими кусками будет выпускать MS свой треш - версиями, сервиспаками, патчами. Это как в анекдоте - "я же говорил, место заколдованное!"

     
  • 2.41, dfhhdh (?), 22:25, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Debian перешел на rolling release и теперь постоянно в нем что-то ломается.
     

  • 1.42, Аноним (-), 09:35, 14/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что то ломается но мы пока не выяснили что ломается. Продолжаем наблюдение
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру