>>>> При этом Astra - для военных. Военные могут взорвать бомбу
>>> Страшно, да? )
> ...уже наверное в другом свете видится, да?Да я всё так же и вижу. Если ты полагаешь, что Солнце встаёт в Вашингтоне и согласно этому своему убеждению живёшь, развиваешь Debian -- самого себя ты не обманываешь. Значит с тобой можно иметь дело. Это одна из причин, почему тов. генерал взял Debian и написал сверху "Астра". Вторая причина - если сэр дженерал будет стрелять в Астру, то попадёт себе в ногу. Пока что попали в Qt.
>> А аллегория "дырявее ситечка" как выглядит? Это про отверстия в нулевых битах?
>> Далее в ответе идут какие-то "бинарные пакеты". Собирается всё из одних
>> исходников. Намёк на ошибки (или закладки?) компилятора, которые проявляются в Астре?
>> Это очень сильное заявление, без упоминания каких-либо событий, но с примесью
>> шапочки из фольги.
> Ммм. Ну n00by, тогда ты зря на меня наезжаешь. Особенно после "каких-то"
> бинарных пакетов. Дорогой, если тебе что-то не понятно -- надо задавать
> вопросы, пока всё не станет понятно. Идти в атаку при таких
> вводных -- не разумно. Особенно сейчас, ибо я-то понимаю, о чём
> говорю, а вот ты -- не вполне.
Я и задал вопрос - см. №43 - откуда там берутся технологические отверстия?
При этом заявление о наличии я не ставил под сомнение. Для меня всякая программа содержит ошибки и её корректность следует доказывать. Так что "атака" - это особенность твоего восприятия, особенно сейчас, когда я принялся зеркалить.
>[оверквотинг удален]
> -- control. В нём содержится описание бинарного пакета. То самое описание,
> которое ты видишь, когда дёргаешь apt-cache show. В описании два поля,
> на которые надо обратить внимание: Version и Source. Version содержит версию
> пакета, а Source -- имя src-пакета, из которого он собран.
> Обрати внимание -- имя src-пакета. И это самое важное: версия бинарных пакетов
> всегда соответствует версии src-пакета, из которого они собраны.
> ---
> Какие выводы можно сделать, если в дистрибутиве бинарные пакеты, собираемые из одного
> src-пакета, имеют разные версии? Только один: бинарные пакеты в репозиторий дистрибутива
> подкладываются мейнтейнерами вручную, а не попадают туда в результате сборки src-пакетов.
Один вывод! Заметь - ты сам это написал. Грубо говоря, они там что-то наколхозили на коленке. Чудом заработало. Вопрос то про уязвимости - откуда они взялись? Столь подробный сценарий не описывает их появление.
> То есть между src-пакетами и бинарными -- связи на самом деле
> нет.
> Какие выводы можно сделать о сертификациях, которыми дистрибутив обладает, если в нём
> вышеописанная ситуация? Только один: цена им -- нуль (кстати тут можно
> вставить искромётную шутку о том, что цена -- это единственное, что
> чего-то стоило в данном дистрибутиве; но это было бы весьма голословное
> заявление, хоть и весёлое).
Сертификация на предмет чего? Отсутствие закладок? Так они посмотрели сорцы и выдали заключение "не обнаружено". Заметь, что к такой формулировке не подкопаешься, если там не написано "уязвимости отсутствуют".
> Ну а какие выводы можно сделать о безопасности дистрибутива, в котором не
> смогли даже обеспечить консистентное состояние бинарных и исходных пакетов? Только один:
> у персонала вендора банально нету квалификации, чтобы ею заниматься. Ибо ну
> а как ты будешь вести учёт CVE, если ты не справился
> с учётом пакетов? Как ты будешь вносить исправления по CVE, если
> у тебя нету соответствия между source и binary? Вот то-то же.
Ну это немного гипотетические выкладки. На практике я сам лично видел, как в "Russian OS & Applicaion" притянули из OpenMandriva патч для rpm, где в коде была кучка alloca(n). Потом они собрали большоооой пакет с иконками и при установке случилось закономерное переполнение стека. Потом им показали строку, где именно падало. В итоге я вспомнил Си и за них исправил. Не знаю, можно ли было это проэксплуатировать - мне это и не надо выяснять, проще заключить "есть вероятность".
Когда берут сорцы от Debian, которые люди как бы для себя уже проверили, поверхность для атаки сильно уже. Тут надо как-то предугадать, что вот этот компонент в Астре обновят, а про тот забудут. Или по вышепреведённой схеме делать Debian уязвимой, как это произошло с OpenMandriva.
Теперь представь, что ты дженерал армии и у тебя приказ - разбомбить эту вражескую Астралинукс. Как быть? При этом дедушка у тебя - адмирал на пенсии, закупал в своё время запчасти к торпедам у IBM, которая теперь купила Redhat. У вас в семье накопилось немножко их акций. Жалко ли тебе Debian?
> И это -- ситуация Astra Linux. Я эту ситуацию наблюдал лично: один
> из моих клиентов портировал на эту ось свой продукт, и в
> процессе портирования я имел неудовольствие довольно плотно познакомиться с этим дистрибутивом.
> Я менеджерам Астры дал подробный фидбэк как по этому поводу, так
> и по множеству других -- но на всё забили болт. Видимо,
> качество продукта их заботит далеко не в первую очередь.
Это не то качество, которое позволяет запустить посторонний код.
> ---
> И это только верхушка айсберга. Косяков в дистрибутиве гораздо больше, мне есть
> много чего рассказать. Но вот так разжёвывать, как тебе сейчас --
> у меня банально нет сил и времени. Ибо как ты теперь
> вероятно понимаешь, всё вышеописанное при наличии квалификации по внутреннему устройству
> debian-based дистрибутивов можно понять уже просто из сообщения #44.
> Так что теперь...
Тогда в №19 должно быть что-то вроде "кривее костыля".
