AlmaLinux udari Red Hat z belo rokavico, saj je moral sprejeti popravek ranljivosti 

SoulLinux

AlmaLinux prisili Red Hat, da ponovno razmisli, potem ko ni sprejel popravka

Razvijalcem AlmaLinuxa je bila dana priložnost, da Red Hatu dokažejo, da niso "grožnja", ki samo podvaja druge razvoje in ustvarja preprosto vnovično gradnjo (to se nanaša na na pripombo družbe Red Hat zaradi omejitve dostopa na kodo RHEL)

In to je, da je kmalu po napovedi spremembe v a nov model vzdrževanja distribucije, ki omogoča uporabo lastnih popravkov, so razvijalci AlmaLinux popravili ranljivost v paketu iperf3 (že navedeno pod CVE-2023-38403 ) in poskusili potisniti pripravljen popravek v CentOS Stream, saj je ranljivost ostala nepopravljena na RHEL in CentOS Stream .

almalinux
Povezani članek:
AlmaLinux spreminja strategijo in ne bo več 1:1 klon RHEL 

Sprva Red Hat ni hotel sprejeti rešitve, navaja pravilo, da je "rešljivo samo pomembne probleme", saj za razvijalce Red Hat ta ranljivost ni bila pomembna in ni predstavljalo "pomembnega" tveganja, da bi ga označili kot "prednostnega", saj je bil še en njihov komentar, da so rešitve za tovrstne težave vključene v pakete le, kadar je to potrebno, zaradi zahtev strank ali poslovnih potreb.

rdeč klobuk
Povezani članek:
Red Hat odgovarja na nedavne kritike zaradi sprememb dostopa do kode RHEL

Hvala za prispevek. Trenutno tega ne nameravamo obravnavati v RHEL, vendar ga bomo pustili odprtega za oceno na podlagi povratnih informacij strank.

poco po "oceni" s strani Red Hat od rešitve do ranljivosti inPredstavnik Alma Linux je izrazil začudenje, ker je bil popravek, pripravljen za odpravo težave, predložen za vključitev v CentOS Stream in:

Red Hat ni bil dolžan sam ustvariti popravka, temveč je moral le pregledati končno sprejeto spremembo kodne baze projekta iperf.

Razvijalec Alma Linux tPrav tako se ni strinjal s klasifikacijo, da je ranljivost manjša, saj popravljena napaka vodi do prekoračitve celega števila in poškodbe pomnilnika procesa, ko je v polje velikosti podatkov posredovana napačna vrednost.

In to je, da razvijalec AlmaLinuxa to omenja kot tako ranljivost v iperf3, omogoča pošiljanje posebej oblikovanega sporočila in povzročanje poškodb pomnilnika (Možen je napad tako s strani odjemalca na strežnik kot s strežnika na odjemalca.) To je zato, ker je iperf3 zasnovan za testiranje zmogljivosti omrežja, uporablja model odjemalec-strežnik, v katerem odjemalec pošlje zahtevo s parametri strežniškemu procesu prek povezave TCP, strežnik pa izvede testiranje in vrne rezultat.

V praksi ranljivost napadalcu omogoča napad na javno dostopne strežnike iperf3. obstoječe ali ustvarite svoj strežnik in napadite uporabnike, ki se prek njega povezujejo. Izkoriščanje ranljivosti naj bi bilo omejeno na zrušitev procesa, a tudi v tem primeru je treba popraviti možnost oddaljenega povzročitve zrušitve procesa strežnika iperf3 na javno dostopnih strežnikih.

V odgovoru je zaposleni v Red Hatu pojasnil, da težava ni omejena na dokončan popravek in da je razvoj popravka le ena od stopenj priprave na posodobitev paketa: zagotoviti morate, da popravek prestane preverjanje. kakovosten in po nanosu v paketu ne povzroča regresivnih sprememb.

Zavezani smo k reševanju pomembnih in kritičnih varnostnih vprašanj, kot jih definira Red Hat. Varnostne ranljivosti z nizko ali zmerno resnostjo bodo obravnavane na zahtevo, če bodo to zahtevale stranke ali druge poslovne zahteve.

Zato se brez napak odpravijo samo kritične in pomembne ranljivosti, težave nizke in srednje resnosti pa po potrebi.

Na koncu je treba omeniti, dae Po razpravi je varnostna ekipa Red Hat ponovno pretehtala svoje stališče, problem označil za pomemben, sprejel popravek in izdal posodobitev paketa za odpravo ranljivosti.

Če ste zanima več o tem, podrobnosti lahko preverite v naslednja povezava.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.