glug: Debian

[Giovanni Chiola]

stblack@linux.it wrote:
> 
> Invio un interessante link sul famoso attacco a Debian.
> 
> http://www.programmazione.it/index.php?entity=enews&idNews=8515&idArea=2&PHPSESSID=a8240fff535f87341bf923090106334b
> Cosa ne sapete?

Penso che l'articolo sia fatto bene.

Personalmente ritengo che il problema non sia tanto dovuto
al fatto che: "La maggior parte degli sviluppatori Open Source
non sembrano avere molta esperienza nei test di sicurezza richiesti",
quanto piuttosto alla fretta con cui tutti cercano di fare uscire
nuove versioni la cui stabilita' non puo' essere stata testata
adeguatamente, e soprattutto la fretta nell'adottare l'ultima
release per fornire servizi critici in rete.
Il "buco" nel kernel 4.2.22 era stato individuato e patchato
dagli sviluppatori del kernel prima che venisse fuori questo
exploit, ma il problema e' che nessuno aveva avvertito gli
utenti che lo stavano usando per applicazioni critiche.

Torniamo al solito discorso del giusto compromesso tra la necessita'
di innovare e la necessita' di utilizzare software sufficientemente
vecchio per essere sicuri che sia sufficientemente bug-free.
Forse dopo questa esperienza potrebbe aver senso mettere in piedi
una distribuzione piu' stabile della vanilla da suggerire
per l'utilizzazione nei server di rete.

Giovanni
--