Názory k článku
Patnáct let stará chyba v jádře umožňuje eskalaci práv

Je hezké, že oznámení zranitelnosti v Linuxu je obvykle doprovázeno seznamem opravených verzí, zatímco u jiného OS to je stylem "oprava bude možná za dva měsíce pro VIP, póvl si počká do léta".

Co je na tom divného, nebo co by šlo dělat lépe?

Na tomto fore. O tejto chybe sa uz enjaky cas vie.

Já v těch CVE vidím u všech shodně 7. března vydání oprav v mainline, a až 12. března zveřejnění.

No to jeste jde.

A ted si predstav ze ti dodavatel napise: pro opravu teto bezpecnostni chyby v managementu musite vymenit cele sasi. Mame ted jeden "startup" na akvizici a dodavatele jsou trochu vice komedianti. Jo tyhle hovinka si ted vyziram ja, ale mam za to slusne zaplaceno takze stiznost u piva jak bych to udelal lepe a oni jsou blbi ...

Bohuzel dalsi problem "Infrastructure built by startup programmers".

Taky co cekat u garazovek reseni iYsystems a supermacro.

15. 3. 2021, 17:15 editováno autorem komentáře

ano

To je vyhoda distribuci jako Gentoo, kdyz si o to clovek pecuje, tak opravdu nema zapnutou kazdou blbost :)

To jako ze venujete cas tomu aby se vam na disku nevalelo par nepouzivanych modulu, ktere maji kazdy par desitek KB?

Některé moduly, např. pro filesystémy nebo síťové protokoly, se loadují automaticky, takže pokud je v nich bezpečnostní chyba, je často možné ji zneužít i bez práv roota, přestože se ty moduly za normálních okolností nepoužívají. Ale lze to samozřejmě řešit i jinak, např. v novějších verzích openSUSE jsou moduly různých exotických filesystémů defaultně blacklistované a kdo některý z nich používá, musí je explicitně povolit.

presně to je důvod proč také osekávám kernel a userspace, snižuji tím příležitosti, zlepšuji debugování a snižuji frekvenci nutných aktualizací, to jde ruku v ruce i se spolehlivostí a nižšími náklady na údržbu.

Místo na disku je asi poslední co mě trápí, mám rád přehled nad svým systémem, těžko ale mít přehled pokud systém obsahuje spousty funkcí, které nepužívám a tedy je ani neznám.

Pro vývoj si nahodím plnotučný OS do virtuálu, ale postupně jak dospívám k produkci, osekávám a osekávám, občas mám i chuť celou aplikaci zabalit do initramfs a vykašlat se na userspace OS, ale to by kolegové na mě dost nadávali.

Muzete rozvest jak me ohrozuji moduly ktere nemam zavedene a jen se mi valeji na disku? Jednou za cas wget? To jako sledujete jestli neni potreba rucne aktualizovat kernel, napr. kvuli dalsi zranitelnosti? To mi moc bezpecne teda nepripada.