Исходное сообщение
"Анонсирован Openwall GNU/*/Linux 3.1-stable" Отправлено solardiz, 05-Янв-15 16:02
Старовато, да. Особенно учитывая предстоящий в феврале EOL этой ветки в проекте OpenVZ - видимо, дальше самые важные фиксы нам придется тянуть в Owl 3.1-stable из RHEL5 самим, или перейти на OpenVZ ветку на основе RHEL6 или RHEL7 даже в нашей stable-ветке. А что касается безопасности, реальность такова что ядро Linux в целом в плохом состоянии, и выбор ветки (из поддерживаемых) тут мало поможет. Оно большое (и монолитное), а hardening-изменения продвигаются в него сложно. Оставаясь на более старой поддерживаемой Red Hat'ом ветке, мы убавляем частоту относящихся к нашей сборке обнаруживаемых и публикуемых критичных уязвимостей. Каждая новая уязвимость в свежем mainline зачастую отсутствует в RHEL6, и с еще большей вероятностью - отсутствует в RHEL5. Когда же критичная уязвимость, документированная как таковая, присутствует в RHEL, Red Hat выпускает фикс для всех поддерживаемых веток. При таком подходе опасность представляют silent fixes в mainline (и, соответственно, атаки с использованием извлеченной оттуда но не опубликованной информации об уязвимостях), но т.к. если мы хотим OpenVZ, mainline (и grsecurity) для нас не вариант, то выбор оказывается между разными ветками RHEL/OpenVZ, и с точки зрения безопасности на данный момент RHEL5 слегка выигрывает у RHEL6 и RHEL7 (но это будет меняться). Использование RHEL5/OpenVZ по крайней мере позволяет обновлять ядра на серверах не так часто, как это приходилось бы делать с более новыми версиями. А кому наша интеграция OpenVZ (несколько устаревшая, да) не нужна - могут использовать Owl userland с любым более новым ядром, в том числе свежим grsecurity. Ничего хорошего, конечно. Я считаю ядро самой уязвимой частью Owl, какую ветку/версию ядра мы бы ни выбрали. Тут кто-то упомянул наличие/отсутствие эксплойтов под разные ядра. Уточню: выше я говорю именно про сами уязвимости (и их наличие или отсутствие), а не про эксплойты.