Vlákno názorů k článku Díra v bashi, které si 20 let nikdo nevšiml od maras - Tak jedem, ne? OSS, otevřené zdrojáky, tak když...
-
maras (neregistrovaný)
Tak jedem, ne? OSS, otevřené zdrojáky, tak když pominu, že tam žádná chyba přece být neměla, protože si to každý přece může zkontrolovat, tak jaj je to s tou opravou? Kde to vázne? Ticho po pěšině a když už to jinak nejde, tak zlehčování problému...
Trolling samozřejmě není fér, ale už by se konečně OSS komunita mohla chytnou za nos. OSS má sice spoustu výhod, ale co se týká přístupu ke zdrojákům, tak to v případě takovýchto problémů ve skutečnosti nic neřeší, je to jen alibi.
-
Řeší to ten problém dost zásadně: záplaty pro většinu distribucí jsou od včerejška k dispozici, Debian má opravené všechny větve a dokonce byla záplata backportována do starých verzí, které už nejsou v upstreamu podporované. To by bez zdrojáků možné nebylo.
Obecně jsou chyby ve všech aplikacích, ale zdrojáky usnadňují a dramaticky urychlují záplatování. Nehledě na to, že je možné záplatovat si třeba i bash v nějaké krabičce, která je deset let stará a původní tvůrce se na ni vykašlal.
-
Vlada (neregistrovaný)
Nejake doporuceni, jak zazaplatovat nejaky obecny linux, ktery bezi rekneme na wifi routeru doma, ma custom linux s pristupem pres ssh a neni to zadny Debian s moznosti apt-get update / upgrade? Muzu zjisti verzi kernelu, verzi bashe, ldd, mam tam moznost zapisu, takze jedna moznost je zkompilovat nekde na jinem stroji a nahrat to tam (na tom routeru zadne kompilacni nastroje nejsou). Ale jak udelat cross kompilaci nevim. Nejaka rada?
-
Lael Ophir (neregistrovaný)
Chybu údajně nahlásil Stephane Chazelas správci bashe už 12.9. Naštěstí se podařilo problém udržet pod pokličkou až do vydání opravy (bohužel jen částečné), která přišla po 14 dnech.
http://www.nytimes.com/2014/09/26/technology/security-experts-expect-shellshock-software-bug-to-be-significant.html?_r=0Oprava mi nepřipadá nijak dramaticky rychlá, a nemyslím že by k její opravě byly podmínkou otevřený zdroják. Pokud by měl zdroják jen správce bashe, prostě by provedl opravu on.
Ohledně záplatování deset let staré krabičky: právě tam bych viděl největší problém. Výrobci na tyhle krabičky kašlou, a uživatelé také. Navíc je těch krabiček spousta. I kdyby snad nějaká třetí strana z čistě altruistických důvodů připravila patch pro konkrétní krabičku, nejspíš se na většinu těch krabiček nikdy nedostane. Podobný problém má i Android, kde vysoké procento telefonů nikdy nedostane patche.
-
l (neregistrovaný)
partial fix bol dostupny v dobe kedy sa to prevalilo do svetovych medii ako obrovska pohroma... a vecer bol dostupny kompletny fix.
Chapem, nie je to tak vzrusujuce ako cakanie na treti utorok v mesiaci ak to nevychadza na parny den - v opacnom pripade je to streda, pripadne predchadzajuci stvrtok - v zavislosti na ci ciferny sucet mesiaca a dna je delitelny 3 bez zbytku :-D
