forum.opennet.ru

Составление сообщения

Исходное сообщение

"Оценка оперативности устранения новых уязвимостей в BSD-сист..."
Отправлено opennews, 26-Янв-18 22:43

Директор подразделения компании IOActive, занимающегося тестированием систем безопасности, в докладе на конференции 34c3 привёл (https://www.csoonline.com/article/3250653/open-source-tools/...) статистику, свидетельствующую о недостатке разработчиков, способных заниматься выявлением и исправлением ошибок в BSD-системах.

В ходе проведённого летом поверхностного аудита в ядрах тёх наиболее распространённых BSD-систем было выявлено 115 ошибок, потенциально приводящих к проблемам с безопасностью. 30 ошибок было найдено в ядре FreeBSD, 25 в OpenBSD и 60 в NetBSD. Спустя полгода после информирования разработчиков данных систем о проблемах, многие из ошибок остались неисправленными или не были доведены до пользователей.

Наиболее перспективной с точки зрения обеспечения безопасности называется ОС OpenBSD, ошибки в ядре которой были не столь тривиальны, а разработчики исправили ошибки в течение нескольких дней. Недостаток числа разработчиков в OpenBSD компенсируется оставлением только самой необходимой функциональности и внедрением прогрессивных методов противостояния эксплуатации уязвимостей.

Во FreeBSD разработчики отреагировали на проблемы в течение недели, но исправили в репозитории лишь часть проблем и выпустили лишь несколько отчётов об уязвимостях. Статус исправления остальных ошибок находится в неопределённом состоянии, так как разработчики посчитали, что для них отсутствуют практические пути эксплуатации и перенесли из категории проблем с безопасностью в область обычных ошибок.
Хуже всего обстоит дело с ОС NetBSD, качество кода которой очень разнородно, а время доставки исправлений слишком велико. Ошибки были исправлены за ночь, но были доведены до пользователей только через 6 месяцев из-за редкого формирования обновлений.
С учётом того, что многие из проблем лежали на поверхности и не потребовали больших усилий для их выявления, исследователь делает вывод, что небольшое число отчётов об уязвимостях в BSD системах говорит не об их безопасности, а о недостаточном числе разработчиков, заинтересованных в проведении аудита. Также отмечается слишком большое время жизни ошибок, от их появления в коде до обнаружения. По утверждению докладчика, большинство уязвимостей в ядре Linux выявляются достаточно оперативно. В BSD-системах ситуация иная и ряд выявленных исследователем проблем находились в коде 10 и более лет.

URL: https://www.csoonline.com/article/3250653/open-source-tools/...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47969

Исходное сообщение
"Оценка оперативности устранения новых уязвимостей в BSD-сист..." Отправлено opennews, 26-Янв-18 22:43
Директор подразделения компании IOActive, занимающегося тестированием систем безопасности, в докладе на конференции 34c3 привёл (https://www.csoonline.com/article/3250653/open-source-tools/...) статистику, свидетельствующую о недостатке разработчиков, способных заниматься выявлением и исправлением ошибок в BSD-системах. В ходе проведённого летом поверхностного аудита в ядрах тёх наиболее распространённых BSD-систем было выявлено 115 ошибок, потенциально приводящих к проблемам с безопасностью. 30 ошибок было найдено в ядре FreeBSD, 25 в OpenBSD и 60 в NetBSD. Спустя полгода после информирования разработчиков данных систем о проблемах, многие из ошибок остались неисправленными или не были доведены до пользователей. Наиболее перспективной с точки зрения обеспечения безопасности называется ОС OpenBSD, ошибки в ядре которой были не столь тривиальны, а разработчики исправили ошибки в течение нескольких дней. Недостаток числа разработчиков в OpenBSD компенсируется оставлением только самой необходимой функциональности и внедрением прогрессивных методов противостояния эксплуатации уязвимостей. Во FreeBSD разработчики отреагировали на проблемы в течение недели, но исправили в репозитории лишь часть проблем и выпустили лишь несколько отчётов об уязвимостях. Статус исправления остальных ошибок находится в неопределённом состоянии, так как разработчики посчитали, что для них отсутствуют практические пути эксплуатации и перенесли из категории проблем с безопасностью в область обычных ошибок. Хуже всего обстоит дело с ОС NetBSD, качество кода которой очень разнородно, а время доставки исправлений слишком велико. Ошибки были исправлены за ночь, но были доведены до пользователей только через 6 месяцев из-за редкого формирования обновлений. С учётом того, что многие из проблем лежали на поверхности и не потребовали больших усилий для их выявления, исследователь делает вывод, что небольшое число отчётов об уязвимостях в BSD системах говорит не об их безопасности, а о недостаточном числе разработчиков, заинтересованных в проведении аудита. Также отмечается слишком большое время жизни ошибок, от их появления в коде до обнаружения. По утверждению докладчика, большинство уязвимостей в ядре Linux выявляются достаточно оперативно. В BSD-системах ситуация иная и ряд выявленных исследователем проблем находились в коде 10 и более лет. URL: https://www.csoonline.com/article/3250653/open-source-tools/... Новость: http://www.opennet.ru/opennews/art.shtml?num=47969

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Директор подразделения компании IOActive, занимающегося тестированием систем безопасности, 
> в  докладе на конференции 34c3 привёл (https://www.csoonline.com/article/3250653/open-source-tools/is-the-bsd-os-dying-some-security-researchers-think-so.html) 
>  статистику, свидетельствующую о недостатке разработчиков, способных заниматься выявлением 
> и исправлением ошибок в BSD-системах.

> В ходе проведённого летом поверхностного аудита в ядрах тёх наиболее распространённых BSD-систем 
> было выявлено 115 ошибок, потенциально приводящих к проблемам с безопасностью. 30 
> ошибок было найдено в ядре FreeBSD, 25 в OpenBSD и 60 
> в NetBSD. Спустя полгода после информирования разработчиков данных систем о проблемах, 
> многие из ошибок остались неисправленными или не были доведены до пользователей.

> Наиболее перспективной с точки зрения обеспечения безопасности называется ОС OpenBSD, 
> ошибки в ядре которой были не столь тривиальны, а разработчики исправили 
> ошибки в течение нескольких дней. Недостаток числа разработчиков в OpenBSD компенсируется 
> оставлением только самой необходимой функциональности и внедрением прогрессивных методов 
> противостояния эксплуатации уязвимостей.

> Во FreeBSD разработчики отреагировали на проблемы в течение недели, но исправили в 
> репозитории лишь часть проблем и выпустили лишь несколько отчётов об уязвимостях. 
> Статус исправления остальных ошибок находится в неопределённом состоянии, так как разработчики 
> посчитали, что для них отсутствуют практические пути эксплуатации и перенесли из 
> категории проблем с безопасностью в область обычных ошибок.

> Хуже всего обстоит дело с ОС NetBSD, качество кода которой очень разнородно, 
> а время доставки исправлений слишком велико. Ошибки были исправлены за ночь, 
> но были доведены до пользователей только через 6 месяцев из-за редкого 
> формирования обновлений.

> С учётом того, что многие из проблем лежали на поверхности и не 
> потребовали больших усилий для их выявления, исследователь делает вывод, что небольшое 
> число отчётов об уязвимостях в BSD системах говорит не об их 
> безопасности, а о недостаточном числе разработчиков, заинтересованных в проведении аудита. 
> Также отмечается слишком большое время жизни ошибок, от их появления в 
> коде до обнаружения. По утверждению докладчика, большинство уязвимостей в ядре Linux 
> выявляются достаточно оперативно. В BSD-системах ситуация иная и ряд выявленных исследователем 
> проблем находились в коде 10 и более лет.

> URL: https://www.csoonline.com/article/3250653/open-source-tools/is-the-bsd-os-dying-some-security-researchers-think-so.html 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47969

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру