Hlavní navigace

Názor ke zprávičce Webové stránky politických stran obsahují zranitelnosti od Filip Jirsák - To, že je tady něco dlouho, neznamená, že...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 23. 9. 2021 8:50

    Filip Jirsák

    To, že je tady něco dlouho, neznamená, že to funguje. A váš komentář vlastně hezky ukazuje, proč to fungovat nemůže. Pro některé bezpečnostní opravy je totiž potřeba změna API nebo inovace.

    Backportování patchů je založené na představě, že chyba je izolovaná v malé části kódu. Typický příklad takových chyb je buffer overflow nebo jiná chybná kontrola mezí. Jenže takových chyb je čím dál méně, protože se používají nástroje, které jim zabrání hned při vývoji. Za to je čím dál víc bezpečnostních chyb, které jsou v architektuře, v protokolu a podobně. Takovéhle chyby obvykle není možné opravit se zachováním zpětné kompatibility. Respektive můžete zpětnou kompatibilitu zachovat, ale ta zpětně kompatibilní větev je pak dále zranitelná. Takže pak sice můžete hezky backportovat příslušný patch, odškrtnete si „vyřešení“ CVE, jenže vše pak dál používá to staré děravé API…