On Tue, 13 Dec 2005, Jacek Kawa wrote:
1.
http://kernel.debian.net/debian/pool/main/kernel-image-2.6.8-i386/
Zajrzałem: tam są pakiety kernela deb 2.6.8 zbudowane 16 sierpnia 2005,
czyli jest to oficjalne jądro 2.6 Debiana.
2. Nie wszystkie dziury dotyczące 2.6.X dotyczą 2.6.X-n
Słusznie.
Pierwsze z brzegu:
http://www.google.pl/search?q=sarge+debian+kernel+vulnerable
* [SECURITY] orinoco: Information leakage due to incorrect padding
orinoco-info-leak.patch
Przeczytałem pierwszy link jaki wyrzuciło Google, a był to link
http://lists.debian.org/debian-kernel/2005/10/msg00297.html
Zajrzałem też na
http://svn.debian.org/wsvn/kernel/people/horms/patch_notes/2.6-stable/2.6.13.4?op=file&rev=0&sc=0
i wciąż nie rozumiem dlaczego uważa się, że debianowe jądro 2.6.8 jest
bezpieczne. Z linku http://lists.debian.org/debian-kernel/2005/10/msg00297.html
wynika tylko tyle, że niektóre z łat na dziury w kernelu 2.6.13.4 (który
okazał się 10. pażdziernika 2005) przeniesiono do debianowego kernela
2.6.8 i te łaty umieszczono w Subversion.
W jaki sposób łaty które znalazły się w Subversion w okolicy 10.
października znalazły się w pakiecie kernela utworzonego 16. sierpnia?
To raczej niemożliwe, chyba że założymy iż developerzy debiana potrafią
podróżować w czasie ;-)
Od 16.sierpnia (daty utworzenia pakietów deb dla 2.6.8) pojawiło się 6
komunikatów informujących o 11 błędach w kernelach serii 2.6.x, można to
zobaczyc np. tu:
http://www.frsirt.com/english/vuln.php?search=linux+kernel
Nie wiem jakim cudem łaty powstałe po okresie utworzenia pakietów deb
dla 2.6.8 miałyby przeniknać do tych pakietów. A jesli tak było, to
dlaczego nie ma informacji o poprawkach do tego kernela na listach
Security Advisories (http://www.us.debian.org/security/2005/)
We wspomnianym czasie Ubuntu (dystrybucja bazująca na debianie) wydała już
5 poprawionych wersji jądra, także jądra 2.6.8 ktore ma ubuntu 4.10.
Zadaję więc pytanie: jak to mozliwe, że ubuntu 4.10 mające jądro 2.6.8
wydało już od sierpnia do listopada 5 poprawionych wersji jądra 2.6.8, a
Debian nie wydał ani jednej poprawki.
To samo pytanie można postawić w przypadku kernela 2.4.27
Pozdr.
Marek