glug: Debian

[Marco d'Itri]

On Dec 09, Giovanni Chiola <chiola@disi.unige.it> wrote:

 >stblack@linux.it wrote:
 >> 
 >> Invio un interessante link sul famoso attacco a Debian.
L'articolo è molto approssimativo, traspare evidente l'impressione che
l'autore riferisca notizie di terza mano (e/o non sappia l'inglese e il
significato della parola "compromise" in questo contesto).
Il parlare di "cospirazioni" poi è semplicemente stupido, nemmeno
ridicolo.

 >Personalmente ritengo che il problema non sia tanto dovuto
 >al fatto che: "La maggior parte degli sviluppatori Open Source
 >non sembrano avere molta esperienza nei test di sicurezza richiesti",
 >quanto piuttosto alla fretta con cui tutti cercano di fare uscire
 >nuove versioni la cui stabilita' non puo' essere stata testata
 >adeguatamente, e soprattutto la fretta nell'adottare l'ultima
 >release per fornire servizi critici in rete.
 >Il "buco" nel kernel 4.2.22 era stato individuato e patchato
 >dagli sviluppatori del kernel prima che venisse fuori questo
 >exploit, ma il problema e' che nessuno aveva avvertito gli
 >utenti che lo stavano usando per applicazioni critiche.
No! Il bug di questi kernel era stato individuato un mese fa ma nessuno
ha ritenuto che fosse un possibile buco di sicurezza.

 >Torniamo al solito discorso del giusto compromesso tra la necessita'
 >di innovare e la necessita' di utilizzare software sufficientemente
 >vecchio per essere sicuri che sia sufficientemente bug-free.
Usare una versione vecchia non avrebbe aiutato, visto che questo bug
esiste da anni.

 >Forse dopo questa esperienza potrebbe aver senso mettere in piedi
 >una distribuzione piu' stabile della vanilla da suggerire
 >per l'utilizzazione nei server di rete.
C'è già debian. :-)

-- 
ciao, |
Marco | [3550 un6516qQ/OGtM]