« Coleção de telas do Famelix 1.0 | Main | Bloqueando automaticamente tentativas de login remoto não autorizadas »

sexta-feira, 14 de janeiro de 2005

Linus comenta sobre métodos de divulgação de falhas

O InternetNews.com publicou um artigo sumarizando recentes discussões na lista de desenvolvimento do kernel do Linux, a respeito de como fazer relatos sobre bugs, e q... (Ler na íntegra)

Publicado por brain às 14:11

Comentários dos leitores

(Termos de Uso)

» Comentário de pedr0 () em 14/01 15:26

concordo 100% com o Linus nessa .

» Comentário de hamacker () em 14/01 17:26

O que foi ? descobriram um BUG no sistema de divulgação de Bugs ?

» Comentário de chimpa () em 14/01 17:29

De fato é preciso oficializar o processo para reportar falhas de segurança no kernel que foi recentemente criticada [tanto o método para reportar quanto o método de programação segura] pelo criador do patch grsecurity [o melhor, na minha opinião] Brad Spengler

http://www.securityfocus.com/archive/1/386374

"...Using 'advanced static analysis': "cd drivers; grep copy_from_user -r ./* |
grep -v sizeof", I discovered 4 exploitable vulnerabilities in a matter
of 15 minutes. More vulnerabilities were found in 2.6 than in 2.4.
It's a pretty sad state of affairs for Linux security when someone can
find 4 exploitable vulnerabilities in a matter of minutes."
...
"Private notification of
vulnerabilities is a privilege, and when that privilege is abused by not
responding promptly, it deserves to be revoked."

Realmente, em um período de 6 meses foram identificados ~ 10 falhas no kernel , sendo a maioria delas reportadas pelo mesmo autor Paul Starzets [sendo a última divulgada 2 dias atrás deste post]

http://isec.pl/vulnerabilities/isec-0022-pagefault.txt
http://www.isec.pl/news.html

O formulário de comentários está desativado devido à mudança de sistema de gerenciamento de conteúdo.