Автор Тема: Безопасно ли обновляться из Сизифа сейчас?  (Прочитано 5701 раз)

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Укажите пожалуйста, как "мотиватор XXX"
 повлиял на код в репозитории Альта.
Заплатил премию разработчику BtrFS или иной подсистемы, лазейку в патче которого не заметит Тысячеглаз.
 
Вы нарушаете правила форума.
 (приводите примеры уязвимостей не относящиеся к ALT Linux).
Обсуждать реальные уязвимости будет поздно и некому, поскольку от них у меня сгорит ЭВМ вместе со мной.
Потому я проверяю подручными средствами сделанное раньше утверждение
В случае свободного софта исходники должен просматривать мантейнер пакета перед сборкой. И подобное выявлять.
То есть кто-то увидит и укажет ошибку https://forum.altlinux.org/index.php?topic=45867.msg367613#msg367613
это сделать куда проще, чем написать весь последующий после неё текст.
« Последнее редактирование: 20.03.2022 14:55:53 от trs »

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 91
Простите, что плохого в обсуждении уязвимостей?

уязвимость - это не новость

Уже давно были предложения завести раздел "Безопасность"
 но под разными предлогами модераторы отказывали.

т.к. серьёзного обсуждения никто не вёл.
 только общие рассуждения - как сейчас.

это больше похоже на "курилку",
  а бросает тень на Сизиф.

Прошу модератора перенести тему в "Разное".

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
накатить патч и прогнать под "статическими и динамическими анализаторами кода"
От Вас ничего не скроешь.  :-)  Верно, хотел. Беда в том, что эти программы, особенно которые находят реальные проблемы в коде, стоят немалых денег.

Но я искренне не понимаю, о какой версии идёт речь. Пусть даже там этот патч накатили или откатили, куски кода, названия функций или хотя бы имена файлов должны совпадать.
Чтобы точно говорить об одном и том же, у Вас под рукой есть ссылка на репозиторий, где найти эту версию?
Здесь же анализатор не используют, значит им не нужны остальные файлы. Прикреплённый файл patch самодостаточен для обнаружения. Если опубликую сразу публично ссылку, там же рядом и патч с исправлением ошибки. :) Эксперимент окажется не чистым. Могу отправить Вам ссылку в ЛС, если хотите проверить анализатором, а глазами искать лень.

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Я конечно не силён в разработке под Linux, но ради спортивного интереса всё-таки заглянул в этот патч - интересовало, как именно сделана привязка к "только для России". Сходу не нашёл. Может подскажите номер строки в данном файле, где это делается?

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
В данном случае хорошо бы разделять необходимые и достаточные условия. Я не утверждал, что есть привязка. "Данный patch внедрил только для России переполнение стека в пакетном менеджере." В OpenMandriva, откуда это было слепо скопировано, переполнение стека не возникало. Если бы переполнение стека происходило на произвольных входных данных, автор бы такое не смог опубликовать - у него не работало бы, он бы сразу исправил. Ошибка очень простая, если посмотреть в соответствующее место, сразу должно быть понятно, что стек там переполнится. В более сложном случае возможно было бы подготовить пакет с локализацией для России, на котором бы эксплуатировалась уязвимость.

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Невозможно анализировать исходные файлы глазами на предмет безопасности. Миллионы строк кода - это нереально. Такое, возможно ещё было году в 2000, но не сейчас.
Поэтому единственный способ - автоматизация анализа кода. Сейчас даже антивирусные паттерны не руками создают, всё делает автоматика, AI/ML. Инженеры вирлабов только контролируют этот процесс и подстраивают, если что стало хуже определяться. Это не Aidstest Лозинского из начала 90х, который исключительно по паттернам находил заразу.

Если опубликую сразу публично ссылку
К сожалению, если нет ссылки, то нет и почвы для дискуссии. Руками и глазами анализировать дорого и неэффективно.
Если есть ошибка, имеет смысл её обозначить в https://bugzilla.altlinux.org/. На личном примере говорю, лично уйму багов закидал туда.

Прошу модератора перенести тему в "Разное".
Прямо мысли читаете.  ;-) Сам хотел предложить. Жаль, что всё скатилось в область "Разное". А так всё хорошо начиналось.

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Невозможно анализировать исходные файлы глазами на предмет безопасности. Миллионы строк кода - это нереально
Про "исходники должен просматривать мантейнер" утверждал не я. Я лишь зацепился за слово "должен" в формулировке. Конкретно эту ошибку - именно должен увидеть каждый системщик при беглом просмотре. В своём коде, конечно, можно и не заметить, когда глаз замылится.

Если есть ошибка, имеет смысл её обозначить в https://bugzilla.altlinux.org/.
Это переполнение стека не в Альте и давно исправлено. Появилось так - мантайнер скопировал патч с ошибкой из другой системы. Не 100 патчей командой git pull, а вот этот один. Прошло время, они собрали какой-то другой пакет, начали его устанавливать в систему и ошибка обнаруживается, rpm падает. Им показали конкретную строку с ошибкой, они сами не смогли исправить. Да, я знаю, что так не бывает, но там место исключительное из всех правил. Тут кто-то обязательно увидит ошибку, когда выпадет свободных 5 минут.
« Последнее редактирование: 20.03.2022 19:15:16 от trs »

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Я не утверждал, что есть привязка. "Данный patch внедрил только для России переполнение стека в пакетном менеджере."

Прикрепляю реальный пример. Данный patch внедрил только для России переполнение стека в пакетном менеджере. Не утверждаю, что помимо отказа в обслуживании возможна эксплуатация с исполнением кода (автор не ставил такой цели, а я не проверял), но данные на стеке зависят от содержимого пакета. Кто-то увидит ошибку? Она очевидна.
Вот на эту фразу я и повёлся

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Внедрили в "Российская ОС и Аппликация", как они сами себя почему-то называют. Вот статистика, которую они сами же и собирают https://linux-hardware.org/?view=os_lang&d=ROSA&period=0
Она несколько кривая, но, полагаю, экстраполировать можно, разделив Unknown пропорционально. Задело несколько сочувствующих. Для них бы атака выглядела, будто бы сами разработчики прислали с обновлением руткит.
« Последнее редактирование: 20.03.2022 20:31:55 от trs »

Оффлайн буратино-42

  • Давно тут
  • **
  • Сообщений: 91
"..полагаю, экстраполировать можно..."

Реальная атака - "дискредитация Сизифа" продолжается.

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Реальная атака - "дискредитация Сизифа" продолжается.
Не торопите разработчиков подтверждать заявление "исходники должен просматривать мантейнер пакета перед сборкой", выходные же были, да и у них есть другие дела. Априори они компетентны, а потому обязательно увидят строчку из букваря по программированию на языке Си. Так что пока это такая реклама. Ведь ту другую систему (умные же учатся на чужих ошибках, верно?), ни в коем случае нельзя использовать, поскольку там компетенций нет.

"..полагаю, экстраполировать можно..."
Если Вы внимательно посмотрели на обрезанный снизу график, то определение языка возникло в некоторый момент, при обновлении hw-probe. Простите мне такую оплошность, я не объясняю сразу то, что для меня очевидно. Потому, кстати, я пока не описывал подробно сценарий атаки. Мне кажется очевидным, что для целевой атаки на Россию не надо что-то внедрять в Ubuntu - её ведь здесь заместили.
« Последнее редактирование: 21.03.2022 08:05:35 от trs »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Не торопите разработчиков подтверждать заявление "исходники должен просматривать мантейнер пакета перед сборкой", выходные же были
Вы, может быть, думаете, что все читают Ваш бред? Да большая часть магтейнеров вовсе на этот форум не заглядывает. :-)

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Уже давно были предложения завести раздел "Безопасность"
 но под разными предлогами модераторы отказывали.
Обсуждать 1 тему раз в полгода-год ? Проще отталкиваться от ситуации. По сути это и есть обсуждение новостей применительно к местным реалиям. А разделу безопасность место не на форуме, а в местах массового скопления мэйнтейнеров и штатных программистов БазальтСПО.
это больше похоже на "курилку",
  а бросает тень на Сизиф.

Прошу модератора перенести тему в "Разное".
Насчёт бросания тени: так это тогда на всех тень бросает, а не только на Сизиф. Это вообще отдельная проблема анализ кода и т.п. Именно поэтому здесь это в разделе новости, т.к. это несомненно важный кусок любой системы, ориентированной на свободно распространяемое ПО. Лично я против переноса, как и против создания нового раздела. Все обсуждения в массовой статистике мигрировали в телеграм. Тут это нинужно.

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 284
Вы, может быть, думаете, что все читают Ваш бред? Да большая часть магтейнеров вовсе на этот форум не заглядывает.
И очень хорошо, что не заглядывают. Через неделю я смогу обоснованно утверждать, что именно asy не смог найти тривиальное переполнение стека в простейшем примере. https://forum.altlinux.org/index.php?topic=45867.msg367613#msg367613

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Вы, может быть, думаете, что все читают Ваш бред? Да большая часть магтейнеров вовсе на этот форум не заглядывает.
И очень хорошо, что не заглядывают. Через неделю я смогу обоснованно утверждать, что именно asy не смог найти тривиальное переполнение стека в простейшем примере. https://forum.altlinux.org/index.php?topic=45867.msg367613#msg367613
А я должен? :-) А может я ещё чего-то Вам должен? Вот приедете в Самару жить, услугу по доступу в Интернет возьмёте в компании, где я работаю, тогда вот что-то буду должен.

И, главное, а каким боком rpm5 относится к ALT Linux?
« Последнее редактирование: 22.03.2022 10:58:59 от asy »