Wydana poprawkowa wersja Amaroka
- Dodano: 15 August 2008
- Wprowadził: Kuba Serafinowski
- Komentarze: 7
Dziś udostępniono poprawioną wersję Amaroka z serii 1.4.x. Naprawiono w niej znalezioną lukę bezpieczeństwa.
Jak dowiadujemy się z wpisu, na blogu jednego z deweloperów Amaroka, Jeffa Mitchella:
…wartość bezpieczeństwa tego słabego punktu jest tak niska, że to zdumiewające, że Secunia zawracała sobie tym głowę. (..) realne zagrożenie tego punktu było w przybliżeniu zerowe.
Mimo tego, wszystkim użytkownikom serii 1.4.x zaleca się aktualizację do nowszej wersji.
Więcej informacji: http://amarok.kde.org/pl/node/539
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
7 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Mimo opisu na Secunii nie rozumiem, jak "symlinkowy atak" mógłby umożliwić skuteczne włamanie. Przecież Amarok nie jest odpalany z suid, no nie?
Ludzka fantazja nie zna granic;)
O firmie musi być głośno. Oprogramowanie Open Source jest uznawane za naprawdę bezpieczne. Dodam tylko, że stanowisko tej firmy potwierdza tę tezę. Chyba nie natknęli się na buga przez przypadek, a widać, że nic bardziej niebezpiecznego nie znaleźli
.
Przeczytajcie bloga, tu wcale nie chodzi o bezpieczeństwo …
A o co chodzi? Bo u mnie tak słabo z angielskim, że niewiele z tego wpisu rozumiem.
To po krótce … Nowa wersja Amaroka jest głównie sprawą prestiżową i jak napisałem przed chwilą wcale nie chodzi o samo bezpieczeństwo. News uwzględnił jedynie fragment bloga, który na domiar złego tlumaczy dlaczego nie ma sensu robić upgrade'u.
To skąd i po co ta nowa wersja w takim razie? Tytuł bloga brzmi: "Responsible Disclosure", czyli "Odpowiedzialne ujawnianie(luk bezpieczeństwa). W telegraficznym skrócie to informacja o tym bugu pojawiła się wpierw na bug trackerze Debiana … i o to ma pretensje autor bloga. Do drużyny Amaroka informacja o bugu dotarła dopiero 36 godzin po jego znalezieniu i to wcale nie poprzez Debiana, a poprzez Google Alerts … Gdyby drużyna Amaroka była powiadomiona wcześniej albo automatycznie poprzez bug tracker Debiana, albo poprzez znaleźcę to użytkownicy krócej byliby narażeni na niebezpieczeństwo. Co gdyby ten bug był poważniejszy?
Więc jak według autora powinno wyglądać odpowiedzialne ujawnianie bugów bezpieczeństwa? Powinno się kontaktować z samym projektem, ale w tym konkretnym przypadku wina też leży trochę po stronie Debiana, który nie przesyła informacji do samych projektów.
Napisałem też o prestiżu … Chodzi tutaj o czas odpowiedzi na luki bezpieczeństwa, nie ważne jak mało poważne one są.
PS. Mogłem coś pokręcić, bo ten wpis czytałem wczoraj.
Bo taka prawda, że o ile Debian jest IMHO świetną dystrybucją, to faktycznie współpraca z developerami często słabo u nich działa (a z drużyną KDE już szczególnie).
Nie dziwię się ludziom krzyczącym na *buntu że nic nie dają od siebie, ale Debian też nie jest bez winy