Názory k článku
Nejvíc zranitelností CVE měl v minulém roce Android
-
No, u zranitelností distribuce by mě zajímalo, jak se to počítá. Ze všech balíčků? Ze všech balíčků kromě contrib/extra? Ze všech balíčků v defaultní instalaci? Zahrnují se všechny zranitelnosti, nebo jen ty, které přinesla samotná distribuce?
V původním článku jsem to rychlým projetím nenašel a bez této informace jsou to nevypovídající hausnumera. Například to může stranit malým distribucím, aniž by byly skutečně lepší.
-
TanyStříbrný podporovatelLaskavě sem netahej souvislosti, které jsou nad mentální možnosti jedinců, kteří dané statistiky tvoří. Kdyby byli k něčemu, tak nedělají statistiky pro PR, ale něco užitečného.
... :)
-
Pali (neregistrovaný)
Zoznam je na adrese: https://www.cvedetails.com/top-50-products.php?year=2016
Zoberme si Debian a k nemu priradené chyby: https://www.cvedetails.com/vulnerability-list/vendor_id-23/product_id-36/year-2016/Debian-Debian-Linux.html
Prvá na zozname je CVE-2016-7966 a týka sa zobrazovania HTML emailov v KMaili. Druhá je CVE-2016-7424 a týka sa nejakej funkcie v libav. Tretia na zozname je CVE-2016-7401 a týka sa Django.
Rozhodne toto nie sú chyby Debianu, či debianových úprav alebo balíčkovania, ale chyby v externých aplikáciach a určite sú dostupné vo všetkých linuxových distribúciach čo ich balíčkujú.
Takže to vyzerá na nič nehovoriaci zoznam. "Viniť" Debian z toho, že obsahuje software, v ktorom sa našli chyby je fakt hlúpe.
Zahŕňa Microsoft a Apple aj chyby, ktoré boli nájdené na ich Store službách? Pochybujem, že sa vôbec také štatistiky vedú. V tom zozname na www.cvedetails.com sa zdá byť nie sú.
-
Petr StehlíkZlatý podporovatelSprávci pouštějí do repozitáře aplikace a knihovny bez chyb. Ty chyby se objeví až posléze, když už je distribuce vyrytá do CD nebo DVD. Tudíž počet chyb v distribuci nemá žádnou vypovídací (ani vypovídající) hodnotu. Vlastně je to jen měřítko velikosti (počtu balíčků) distribuce a jejich popularity (v populárnějších se logicky najdou chyby častěji).
Jak říkával pan Goebbels "věřím jen té statistice, kterou si sám zfalšuji".
-
Filip JirsákStříbrný podporovatelUrčitě je rozdíl v tom, když vyjde oprava chyby v upstreamu, kdy se dostane do dané distribuce. Ne že by tohle ukazovala uvedená statistika, ale kritérium to je vypovídající a dost podstatné.
-
Lael Ophir (neregistrovaný)
Co máte na mysli tím že nejde o chyby Debianu? Jsou to zranitelnosti které postihují Debian. Ano, většina z nich asi nebude důsledkem úprav zavedených Debianem nebo způsobu balíčkování. Ale není mi jasné, proč by to mělo být relevantní. Když je chyba řekněme v Oracle RDBMS, tak je přece jedno jestli ten kód napsal Oracle, najal si na to externisty, nebo zahrnul open source knihovnu. Totéž u Androidu: je jedno jestli jde o zranitelnost v kódu který napsali v Googlu, koupili s Android Inc., nebo zanesli s knihovnami třetích stran. Je to prostě zranitelnost v jejich produktu.
Ad "Viniť" Debian z toho, že obsahuje software, v ktorom sa našli chyby je fakt hlúpe - nemyslím že by šlo o to někoho vinit. Jde o statistiku, která říká, kolik zranitelností postihovalo daný SW. Těžko si představit že bychom tvrdili, že se zranitelnost netýká daného SW, když výrobce prohlásí "to psali externisté", "to je v nějakém open source který jsme zahrnuli", "ten člověk už u nás nepracuje" apod.
Jinak Debian snad má kontrolu nad tím jaký kód do svého produktu zahrne. Pochopitelně čím víc toho kódu je, tím větší je attack surface.
-
Pokud budeme brát CVSS base score, takže tam rozšíření není. Jiné skóre zase do těchto statistik těžko rychle vyhodnotíte…
Rozšíření daného SW má vliv hlavně u masových útoků, ne tolik u targeted attacks. Navíc se to v čase mění a ne vždy se to snadno zjišťuje, takže dělat z toho statistiky není asi úplně sranda.
Plus má význam například doba opravy. Ani ta není v CVSS base score.
Ale na druhou stranu, pokud se zahrnují zranitelnosti všech balíčků (tedy si na desktopu započítejte několik prohlížečů, různé webové servery, relační i nerelační databáze atd… – co na tom, že nic z toho nepoužíváte), je asi celkem zbytečné v tomto kontextu řešit, jak se má vyhodnocovat severity.
-
otty (neregistrovaný)
Keď sa na to pozerám, vzhľadom na počet chýb by som si mal poštový server postaviť na nejakom BSD :-)
Tie údaje štatistiky sú divné, lebo chyba v OpenSSH bola započítaná len pre OpenBSD, Ubuntu a Debian. Akoby iné distribúcie Linuxu a *BSD OpenSSH vôbec nepoužívali.
https://www.cvedetails.com/cve/CVE-2015-8325/
ČLÁNKY DO MAILU