Qual a distro mais rapida em corrigir problemas de segurança?

Iniciado por sylvester, 19 de Fevereiro de 2008, 12:45

tópico anterior - próximo tópico

sylvester

Segundo foi noticiado recentemente apareceu um bug que permite que usuários locais tenham acesso indevido de root. A falha afeta kernels Linux da versão 2.6.17 a 2.6.24.1.
Isso foi noticiado aqui: http://br-linux.org/2008/bug-permite-que-usuarios-locais-tenham-acesso-de-root/
____________________________---

Agora a questão é: quão rapidas foram as distros a resolver o problema e a lançar um patch correctivo?

A Distrowatch descobriu isto:

Debian + 0 horas
Fedora +8 horas
Slackware +12 horas
Mandriva + 19 horas
Frugalware +21 horas
opensuse +23 horas
rPathlinux +26 horas
Red Hat Entreprise +27 horas
Ubuntu + 27 horas
Centos + 37 horas

O artigo ainda explica que a maior parte das distros comunitárias não publica as correções de segurança, mas que é provável que as usa esteja seguro.
http://distrowatch.com/weekly.php?issue=20080218#feature

Por esta pequena amostra continua a se provar que Debian é Debian! Reparem que não demorou uma hora para que o problema fosse corrigido.
O Fedora também provou ser uma distro muito segura, ainda para mais que usa o SElinux.
O nosso Ubuntu tem muito a melhorar nesse aspecto, mas ficou em pé de igualdade com a RHEL.
Às vezes escutamos comentários que o Ubuntu é melhor que o Debian.
Será melhor em alguns aspectos, tais como na facilidade de uso, mas conforme ficou aqui provado Debian ainda a distro mais confiável, estável e segura


http://opensourceformac.blogspot.com/                                      http://easyubuntulinux.blogspot.com/

xtrmbr

uau! só da tempo de dizer preciso de um corretivo e pluft, catapimba!! ja fizeram uma para o debian.
Como é feito esta avaliação?

agente100gelo

Se fosse o Windows esperaria pela segunda terça-feira do mês....
Advogado e analista de sistema cearense.
Twitter: @glaydson

leandromdelima

Citação de: agente100gelo online 19 de Fevereiro de 2008, 13:27
Se fosse o Windows esperaria pela segunda terça-feira do mês....

Besteira!  Todo mundo sabe que SP só de seis em seis meses :P
Quando eu avançar, avancem comigo.  Se eu parar, me empurrem para frente.  Se eu der meia volta, matem-me.

xtrmbr

Citação de: agente100gelo online 19 de Fevereiro de 2008, 13:27
Se fosse o Windows esperaria pela segunda terça-feira do mês....

Eu esperei 9 meses para nascer. e só usei o linux com 20 anos.

ins3rt c0in

#5
Com Windows ninguém compete! Ninguém ganha dele na velocidade de exploração de brechas de segurança!

Não conheço bem o sistema de desenvolvimento das distribuições, mas provavelmente é uma questão que envolve o processo de desenvolvimento de correções. O Ubuntu aprendeu com erros de atualizações no passado. Um atualização de segurança no xorg deixou muita gente sem gráfico. O processo de criação e teste das correções deve ter se tornado bem mais rigoroso. O Debian, por exemplo, se derrubar a parte gráfica durante uma atualização não vai ter problemas porque o usuário padrão sabe como restabelecer o sistema e entende porque a atualização o fez reconfigurar o Xorg. O usuário do Ubuntu, ao contrário, não sabe resolver a questão, não entende o que aconteceu, e fica desesperado (claro, sem generalizar).

A pergunta que deveria ser feita é: Qual o usuário menos seguro? Claro que do Ubuntu, a popularidade trás suas consequências!

p.s. - Complementando o que eu disse, depois que eu li o texto.

O Ubuntu tem usuários que não lidam bem com problemas de atualização
O Ubuntu tem que testar o patch em Ubuntu, Kubuntu, Xubuntu, Ubuntu Server, Edubuntu, Gobuntu, Ubuntu studio [link]. Sem contar versões 64 bits.
O Ubuntu tem que sustentar uma gama enorme de programas em desenvolvimento.

A intenção do texto é dizer que as distribuições dentro da tabela tem um tempo de resposta satisfatório. O que se deve alertar é que há distribuições que não tem uma política de segurança definida, que sequer fizeram a atualização. São distros comunitárias e amadoras.

"Other users might be even less lucky. Some developers of Arch Linux have previously argued that security announcements are redundant for their distribution as it uses the "rolling package update" mechanism with continuous package updates. But a quick look at their core tree reveals that six days after the vmsplice() vulnerability was published, it still only lists the vulnerable 2.6.24.1 kernel (correction: Arch Linux released a fix on February 10th). Users of Sabayon Linux have been left completely to their own devices - the project provides no security advisories or package updates. And although Zenwalk Linux does have a security section in the forum, there is no mention of the vmsplice() vulnerability at all. Many other distributions provide very few clues on whether or not they have provided a patch for the vulnerability or even whether they are aware of it; this includes SimplyMEPIS, VectorLinux, Puppy Linux and others."

Esta aí o alerta pro pessoal que gosta de usar usar distros independentes!

Acho que o autor poderia mudar o título do tópico pois está dando a impressão errada. Além do que essa diferença de tempo não torna o Ubuntu menos seguro, ninguém fará um ataque em massa em um dia!

BlackMoon

Mesmo que esteja "no fundo da lista", não acho que um prazo de 27h seja ruim. Foi corrigido bem rápido na minha opinião.

felipeborges

Ainda assim é muito rápido. Fico espantado com os desenvolvedores do Debian que em menos de uma hora, o que é "fora do normal", resolveram o problema e publicaram a atualização. Acho que mesmo que exista uma gama maior de usuários e variações do Ubuntu, o que deve haver na equipe de desenvolvedores é um estimulo a serem os melhores, como a do Debian, tentar solucionar o quanto antes.
Volto a dizer, TODAS inclusas na lista estão de parabéns, como foi dito, no Windows eu esperaria até o próximo Service Pack.
Meu blog sobre GNU/Linux
Debian Lenny e Gentoo.

dhiegospector3k

Citação de: xtrmbr online 19 de Fevereiro de 2008, 14:32

Eu esperei 9 meses para nascer. e só usei o linux com 20 anos.
concordo com você
demorei 9 meses p/ nascer e 14 anos p/ usar linux :)
Assinatura fora das regras. Removida por agente100gelo.

-.-

eu acho que ja que o ubuntu vem do debian ele deveria pegar coisas do repositorio debian nesse esquema:

repositorio debian atualização de segurança > canonical > ubuntu

nao sei se é possivel mas o ubuntu deveria pegar a correção do debian

ps:no compiz + GF TNT2 da pra fazer os efeitos do vista @_@
Assinatura removida pela Equipe do fórum. Verifique as regras das assinaturas.

leandromdelima

Quando eu avançar, avancem comigo.  Se eu parar, me empurrem para frente.  Se eu der meia volta, matem-me.