|
|
|
עד כה: 3 תגובות, ב- 3 דיונים.
|
|
|
|
|
|
הוסף תגובה
|
|
 |
3.
תיקונים
משתמש לינוקס,
14/06/04 14:32
| כתבתי תגובה יותר מפורטת אתמול, אולם היא משום מה לא התקבלה.
הכתבה הזו כוללת לא מעט פרטים שגויים. אם עורכי האתר רוצים להתייחס לעצמם ברצינות , הם צריכים לבדוק את מה שהם כותבים.
למעשה לא מדובר על שתי בעיות נפרדות: לאחר שהתגלתה הפרצה המקורית ונשלח התיקון, המשיכו חוקרים לבדוק את אותו קוד כדי למצוא בעיות דומות. הבעיות הדומות שניבו את קבוצת התיקונים השניה.
אני לא מנסה להמעיט בחומרתה של הפרצה: היא התגלתה רק לאחר שהשרת שהחזיק את הקוד של התוכנית CVS עצמה נפרץ בעזרתה הפרצה.
אולם בשני המקרים היה תהליך מסודר של "שחרור מבוקר" כדי לתת להפצות הראשיות זמן סביר להתכונן. בפרט לא רק SuSE הוציאה תיקון.
הגב לתגובה זו
|
|
|
2.
וכמובן
משתמש לינוקס,
14/06/04 04:16
| הרשו לי להסתייג מהמילה "האקרים" בכותרת האתר, וכן מהחשיבות הרבה שמקדיש הצהובון הזה לנושא ה"האקרים" ה"כל־יכולים" והפחדים מהם.
תעבדו עם מערכות בטוחות ואז לא תהיו נתונים לחסדו של כל ילדון.
הגב לתגובה זו
|
|
|
1.
תיקון
משתמש לינוקס,
14/06/04 04:13
| כמה מן הפרטים בכתבה זו אינם נכוננים לחלוטין.
מערכת CVS היא מערכת ל"בקרת גרסאות": מאפשרת עבודה יעילה עם גרסאות שונות של אותם הקבצים. זוהי מערכת בקרת הגרסאות הפופולרית ביותר בעולם התוכנה החופשית. אם כי חסרות בה כמה תכונות וכיום פיתוחה למעשה הוקפא ע"י מחבריה (הם עברו לפתח את subversion).
בשני למאי התגלתה פריצה לשרת הבית של מפתחי CVS. מניתוח הנתונים התברר שהפורץ השתמש בפגם שלא היה ידוע עד כה בתוכנת CVS. מכיוון שתוכנה זו היא תוכנה שניצול פרצה בה יכול לאפשר לפורץ זריז לפגוע בהרבה אתרים, הפצות הלינוקס העיקריות דאגו לתאם בינן את תאריך פרסום הטלאי לחבילה.
כבר למחרת גילוי הפרצה הופצו גרסאות ראשונויות של התיקון לה בין כמה אתרים חשובים: אתרים אילו מאכסנים אצלם הרבה פרוייקטים והיה חשוב להודיע ליידע אותם. מכיוון שהתיקון לא נבדק מספיק לא שוחררה עדיין הודעה לציבור.
במקביל החלו ההפצות השונות לבדוק את התיקון. ב־12 למאי התברר שהתיקון לא היה מספיק טוב ועודכנה הגרסה שלו. לכן רק ב־19 למאי שחררו ההפצות העיקריות את העדכון לציבור הרחב.
הכתבה הבאה סקרה את הטלאי הראשון:
http:lwn.netArticles86956 . שימו לב שהם מבקרים כאן כמה הפצות קטנות על שהן לא טרחו להתעדכן מספיק מהר, אולם שאר ההפצות הוציאו עדכון כבר באותו היום.
המשך הסיפור:
המשך החקירה של אותה בעיה גילה שהתיקון שיצא לא סתם את כל הפרצות האפשריות.
לפרטים: http:security.e-matters.deadvisories092004.html
לא רק הפצה SuSE הוציאה עדכון: כל ההפצות הגדולות כבר הוציאו עדכונים כבר ב־9 או יום־יומיים לאחר מכן:
http:lwn.netVulnerabilities88839
הגב לתגובה זו
|
|
|
|
|
|
