On 2008.12.18 at 13:23:57 +0300, Alexey Pechnikov wrote: > Hello! > > > > Так секьюрити апдейты должны быть как раз превентивной мерой. > > > > Race condititon получается. > > > > Что произойдет быстрее - багу обнаружат "хорошие парни", исправят, > > выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат > > "плохие парни" и проэксплойтят? > > > > Шансы на первое велики, но не 100% > > 100% и не будет. В конце концов, вооруженная группа захвата наверняка > сможет успешно атаковать
Вопрос не в вооруженной группе. Вопрос в китайском спаммере. То что китайский спаммер читает багтрак и узнает о дырке в openssh на некоторое время раньше, чем большинство адаминов я уверен. Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты прочитаешь debian-announce и поставить апдейт. > > > Вообще говоря, случай практически достижимый. Технологии software > > proving существует. И, например, французы там, где пару миллионов > > потратить на это не жалко, их применяют. В системе управления парижским > > метро, или в ракетах Arian (после того, как оно однажды гробанулось > > из-за софтверного бага). > > Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh - > дешевле выйдет физический Речь идет не о сумме на взлом, а о сумме на доказательство что в каких-то конкретных условиях openssh абсолютно безопасен. И чтобы условия не были "сетевой кабель из компьютера выдернут". Взлом - дешевле. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org