« Coleção de telas do Famelix 1.0 | Main | Bloqueando automaticamente tentativas de login remoto não autorizadas »
sexta-feira, 14 de janeiro de 2005
Linus comenta sobre métodos de divulgação de falhas
O InternetNews.com publicou um artigo sumarizando recentes discussões na lista de desenvolvimento do kernel do Linux, a respeito de como fazer relatos sobre bugs, e q... (Ler na íntegra)Publicado por brain às 14:11
Comentários dos leitores
(Termos de Uso)
» Comentário de pedr0 () em 14/01 15:26
concordo 100% com o Linus nessa .
» Comentário de hamacker () em 14/01 17:26
O que foi ? descobriram um BUG no sistema de divulgação de Bugs ?
» Comentário de chimpa () em 14/01 17:29
De fato é preciso oficializar o processo para reportar falhas de segurança no kernel que foi recentemente criticada [tanto o método para reportar quanto o método de programação segura] pelo criador do patch grsecurity [o melhor, na minha opinião] Brad Spengler
http://www.securityfocus.com/archive/1/386374
"...Using 'advanced static analysis': "cd drivers; grep copy_from_user -r ./* |
grep -v sizeof", I discovered 4 exploitable vulnerabilities in a matter
of 15 minutes. More vulnerabilities were found in 2.6 than in 2.4.
It's a pretty sad state of affairs for Linux security when someone can
find 4 exploitable vulnerabilities in a matter of minutes."
...
"Private notification of
vulnerabilities is a privilege, and when that privilege is abused by not
responding promptly, it deserves to be revoked."
Realmente, em um período de 6 meses foram identificados ~ 10 falhas no kernel , sendo a maioria delas reportadas pelo mesmo autor Paul Starzets [sendo a última divulgada 2 dias atrás deste post]
http://isec.pl/vulnerabilities/isec-0022-pagefault.txt
http://www.isec.pl/news.html
O formulário de comentários está desativado devido à mudança de sistema de gerenciamento de conteúdo.