Alla luce della vulnerabilità DNS di glibc, perché le distro di Linux non aggiornano le immagini di installazione?

9

Questo non rende forse il semplice atto di aggiornare un'istanza di Linux appena installata, dato che il gestore pacchetti inizialmente installato è vulnerabile? Mi manca qualcosa?

Ad esempio, l'attuale immagine di Ubuntu 15.10 risale al 21 ottobre ( link ) e l'immagine di Fedora 23 risale al 30 ottobre ( link ). Perché è così?

Questo advisor di sicurezza di Ubuntu dice che la versione 15.10 è interessata: link , ma l'immagine di installazione non sembra che sia stato aggiornato da quando è stato rilasciato.

La mia preoccupazione è questa: per quanto ho capito, qualsiasi applicazione che usa glibc per eseguire query DNS è vulnerabile, il gestore di pacchetti deve eseguire query DNS per trovare i mirror ed eseguire come root, e la vulnerabilità è già nota per un po '.

apt e RPM utilizzano una libreria diversa per eseguire le loro query DNS o esistono alcune difese per impedire che questa vulnerabilità venga sfruttata?

I team di sicurezza delle distro non riescono semplicemente a far fronte alla quantità di vulnerabilità scoperte ogni giorno, ad esempio "Uso di un computer? Aspettatevi trojan / rootkit!" è la realtà della sicurezza informatica che deve essere accettata?

    
posta lamefun 25.02.2016 - 08:45
fonte

1 risposta

4

Mantenere una distribuzione è un duro lavoro. Ci vuole molta logistica per testare i pacchetti software, aggiornarli, comunicare con gli sviluppatori a valle, ecc.

Il disco di installazione è la prima esperienza che un utente ha con il software e deve semplicemente funzionare. In caso contrario, l'utente non sta installando il software. Ecco perché le distribuzioni effettuano solo rilasci di punti e aggiornano il software di installazione ogni tanto. Se dovessi ricostruire il software ad ogni aggiornamento di sicurezza, lo faresti così spesso che probabilmente avresti problemi di controllo qualità molto più spesso che sarebbero accettabili.

Direi che hai ragione sul fatto che il software sarebbe vulnerabile alla prima installazione. Questo è un controff che i manutentori della distribuzione hanno (probabilmente) pesato e accettato. Al momento dell'installazione, generalmente la prima cosa che succede è l'aggiornamento del software. C'è qualche piccolo rischio che durante questo periodo qualcuno possa essere in grado di sfruttare la vulnerabilità di glibc. Le uniche ricerche DNS che si sarebbero verificate prima che la vulnerabilità di glibc venisse corretta sarebbero i siti mirror, quindi un utente malintenzionato dovrebbe controllarlo o eseguire un attacco MiTM.

    
risposta data 25.02.2016 - 21:32
fonte

Leggi altre domande sui tag