Názory k článku
Jádro 2.6.24.2 opravuje chybu vmsplice
-
Lukáš TurekStříbrný podporovatelDebian a Gentoo měli opravu už včera, ale CentOS zatím pořád nic :-( -
Lenin (neregistrovaný)linux kernel 2.6 - 143 der, linux kernel 2.4 - 73 der, solaris 10 - 179 der, solaris 8 - 174 der.
mainframe OS: z/OS - 2, i5/OS - 3 diry. docela DOST ROZDIL.
aix je na tom trochu lepe nez zbytek unixu: aix 5 - 85 der, aix 6 - 3 diry, aix 4 - 21 der.
Masina na ktery mi bezi dns registr nam jede na i5/OS. Nebo snad chcete by jste si regli domenu a nejakej linux looser vam ji transfernul protoze vycrackoval linux masinu na ktery to bezelo protoze registrator byla socka a nezmohla se na kvalitni soft? Stejne tak nechceme aby nam nejaky idiot slohnul heslo do Verisign registru, domeny co mame maji cenu peknych par mega USD. -
dayvee (neregistrovaný)Lenine prestan laskave nadavat a uvedom si, ze z/OS a i5/OS skoro nikdo nepouziva. Pocty co udavas nejsou samozrejme realny pocty der ale pocty dosud nalezenejch a zverenenejch der, to je samozrejme ovlineny poctem nasazeni. Proc myslis ze "pocet der" MS Windows je mnohem vyssi nez "pocet der" OS X (ktery je deravy jak svin)?
"Nejbezpecnejsi" system ktery znam je Jean's OS, tedy system (resp. jen jadro) ktery si dela sam kamos a nikdo o nem nikdy neslysel. A co ja vim, tak v nem taky nikdo nikdy nenasel zadnou bezpecnostni diru ;-)
Btw, snad jedinny vyrazne bezpecnejsi system je OpenBSD ... -
Lenin (neregistrovaný)Tenhle argument neberu. Na mainframe OS napriklad uz z principu nemuzou utoky typu buffer overflow fungovat, protoze tam nemuzete injectnout shellcode. Tyhle vylomeniny muzou maximalne fungovat v HMC konzoli, kde snad ted bezi misto OS/2 upravenej Linux, kde by se teoreticky exploitovali pres textove UI.
OpenBSD je vyrazne bezpecnejsi? Dodejte dukaz.
Found: 101 Secunia Security Advisories, displaying 1-25
Sort by: Match, Title, Date
Title Date
OpenBSD update for X.Org 2008-02-08
OpenBSD DNS Server PRNG Transaction ID Vulnerability 2008-02-07
OpenBSD bgplg "cmd" Cross-Site Scripting Vulnerability 2008-01-31
OpenBSD SIOCGIFRTLABEL Denial of Service Vulnerability 2008-01-14
OpenBSD update for OpenSSL 2007-10-12
OpenBSD dhcpd Buffer Overflow Vulnerability 2007-10-10
OpenBSD Systrace and Sysjail Multiple Race Condition Vulnerabilities 2007-08-16
OpenBSD update for file 2007-07-10
OpenBSD IPv6 Type 0 Route Headers Denial of Service 2007-04-24
OpenBSD update for X.Org 2007-04-05
OpenBSD ICMP6 Packet "mbuf" Memory Corruption Vulnerability 2007-03-12
OpenBSD ICMP6 Denial of Service Vulnerability 2007-01-19
OpenBSD "vga" Privilege Escalation Vulnerability 2007-01-04
OpenBSD ELF ld.so Environment Cleaning Vulnerability 2006-11-20
OpenBSD update for OpenSSH 2006-10-12
OpenBSD update for httpd 2006-10-09
OpenBSD systrace "systrace_preprepl()" Integer Overflow Vulnerability 2006-10-09
OpenBSD update for OpenSSL 2006-10-09
OpenBSD update for BIND 2006-09-11
OpenBSD update for OpenSSL 2006-09-11
OpenBSD update for sppp 2006-09-04
OpenBSD sempahores Denial of Service Vulnerability 2006-08-28
OpenBSD isakmpd IPSec Sequence Number Verification Bypass 2006-08-28
OpenBSD update for dhcpd 2006-08-28
OpenBSD update for sendmail -
lol (neregistrovaný)omg ... chod si vylestit bambus na ten svoj mainframe ... uz ti to tu niekt pisal - vunerability systemu je priamo umerna potencionalnemu poctu userov, ktory system budu pouzivat. Ak by neexistovalo nic ine len mainframy, tak tam mas security advisory 3x denne ... bezpecny OS je odpojeny od netu, energie zamknuty v bankovom trezore... tak uz tu prosim ta prestan pustat hlody, ktore aj-tak nikoho nezaujimaju.
-
Ano, jsou jistě bezpečnější OS, protože třeba prošly aspoň částečnou formální verifikací apod.
Nejvíc se směju tomu, před čím zavíráš úmyslně oči: z/OS, i5/OS skoro nikdo nepoužívá! Kdyby to měl každej doma, najde se v tom chyb hafo. Ale domů si to nikdo nepořídí, protože je to specializovanej OS na něco jinýho, než na běžnej desktop - tam by se tento "lepší" OS ukázal jako propadák.
Až bude ten z/OS, i5/OS umět to samý, co Linux, budou stejně rozšířené a jeho zdrojáky budou stejně dostupné, pak bych to porovnával. -
Lenin (neregistrovaný)Nikdy jsem netvrdil ze i5/OS a z/OS je OS pro desktopy, port pro Intel neni a nebude.
> Kdyby to měl každej doma, najde se v tom chyb hafo.
No ja si nemyslim ze domaci fanda z horni dolni najde vice chyb v OS nez profi admin. V profi sfere je system vice zatezovan a je vyuzivano vice jeho funkci.
Kdyz si koupite mainframe tak pochopitelne pozadujete funkcnost reseni ponevadz ROI, to je snad jasne. Nefunguje to? Chci vratit prachy.
Prectete si take neco o techto systemech, pak jiz nebudete sebevedome trvdit, ze toho Linux/unix umi vic. Pak poznate proc mainframe operatori pohrdave rikaji o unixu ze je to sofistikovany program loader. A maji pravdu.
i5/OS ze nikdo nepouziva? Podle statistik ho pouziva 50% vsech velkych zakazniku IBM. Krom toho na i5/OS bezi dnes i MySQL a PHP + klasika jako db2, mq series, cics, websphere as... -
Mr. Zdeeck (neregistrovaný)OMFG, Lenine, prestan tady trollovat:
z/OS je bez Linuxu nekde v LPAR totalne nepouzitelna masina, protoze na tom zadna rozumna sluzba nejede. Pokud samozrejme nepocitam uplne prisernou DB/2 (coz je napr ve verzi pro AS/400 databaze, jejiz uzivatelska pritulnost je asi na urovni mrtve a studene Nemky) a dalsi "vychytavky" jako zminovane MQ ci Websfira, coz jsou nejdrazsi softy ve sve kategorii, bohuzel zdaleka ne nejlepsi. Ono vubec reseni od IBM jsou nekdy sice zajimavy (treba i ta blba 3270ka), ale rozhodne ne optimalni (ve smyslu cena/vykon).
Dalsi vec je, ze OSy s verifikaci kodu jsou _by principle_ proste pomalejsi. Samozrejme, na I/O operace jsou tyhle mainframe OS rychlejsi, ale faktem je, ze par PCek za 10tinovou cenu bude pocitat hardcore math nekolikrat rychleji nez jakykoli mainframe. -
Lenin (neregistrovaný)ja se v minulem prispevku bavil primarne o i5/OS, nikoliv o z/OS. i5/OS je velmi hezky a integrovany OS.
Mozna vas to prekvapi, ale k i5/OS se dodava i klikajici GUI a to jak pro vyvojare, tak pro administratory. Krom toho i5/OS podporuje pomerne hezkou radu programovacich jazyku a daji se tam doinstalovat i perl, python, ssh, unix shell a podobne, takze muzete delat i v tom v cem jste programovali doposud. Ze sprava db2 z command lajny neni nic moc? Jako kdyby to bylo u Oracle/mysql/etc nejak vyrazne lepsi! Chcete do i5/OS unix shell, no tak si ho tam nainstalujte, je dokonce i zdarma.
MQ series a websphere jsou high end soft a tomu pochopitelne odpovida i cena. Musim ale rici, ze si na ne nemuzu stezovat, coz se o open source nedodelcich Geronimo, Tomcat, Glassfish, jboss, active mq rici rozhodne neda. Pokud znate nejakou kvalitni alternativu, ja se rad necham poucit.
Ja vim ze cesi jsou silne orientovani na cenu (tzv. socky), ale realita uspesnych podnikatelu je jina. Jak jsem psal bezi nam na iseries aplikace pro Verisign a spol dns registr, kde mame priblizne 85 tisic svych domen + 150 tisic domen lidi kterym delame registratora a to jeste nepocitam ty mraky dropu co kazdej den chytame a ty nekvalitni prodavame v aukci minimalne za $60, denne prodame asi 100 dropu. Z toho si muzete udelat obrazek kolik vydelavame. Za jak dlouho vydelame na rocni licencni poplatky za SW? Tezko rict, rekneme za tyden? Takze holt jeden tyden v roce delame pro IBM a zbytek do vlasni kapsy. To nam vubec nevadi, za kvalitni software totiz zaplatime radi.
Podivejte se na specint, specfp benchmarky pod AIXem a i5/os na stejnem hw. Uvidite, ze i5/os neni pomalejsi. Mainframy se nepouzivaji na matyku, od toho jsou blade systemy http://www-03.ibm.com/systems/bladecenter/hardware/servers/qs21/index.html -
Mr. Zdeeck (neregistrovaný)No, takze jsme se dozvedeli, ze i cybersquatteri pouzivaji iSeries a ze jim to pekne nese. Supr.
Ted trochu k te technice:
To, ze je pro nekoho rozhodujici cena ku vykon je spise pozitivni vlastnost - ne kazdy si musi honit ego, ze mu v servrovne jede Velka Modra. Co si pamatuji (jsem z mini nejakej ten rok pryc), licencni model AS/400 byl dost otresny (ve smyslu: otresny pro zakaznika, super pro IBM) - pro ty, co nevedi - funguje to tak, ze masina obsahuje fyzicky kremik, ktery ma OS zakazan pouzivat. Po zadani klice (za tucny peniz) se vam tak treba spustil dalsi procesor. Disky se musely nakoupovat pouze od IBM za jejich ceny, atd.
Co se tyka AS, tak WebSphere neni zdaleka jediny "high end", jsou tady jini dodavatele softu: BEA (dnes uz Oracle), Sun, atd. Mit predstavu, ze od IBM je to nejlepsi je opravdu lehce naivni, IBM neni zadny magichouse.
U MQS je nejhorsi opet cenova politika, kdy fakt za kus relativne elementarniho SW vyplaznete mega za kazdy node. To je IMHO v dnesni dobe trosku mimo.
DB/2 JE SHIT a to myslim zcela vazne. Ta databaze neumela (par let nazad) zcela zakladni SQL konstrukty (LIMIT), neumela dynamicke typovani, neumela proste nic. Ano, v MySQL se dela DALEKO lepe, protoze to programatora neprca za kazdou volovinu (ted ponechavam stranou rozliseni ucelu DB - nejsem fanatik, abych rikal, ze MySQL se da nasadit misto enterprise-level DB. Za MySQL si dosadte Oracle ci cokoli jineho - proste DB/2ku poboucha jakakoli jina rozumna SQL DB - bud pritulnosti nebo funkcemi).
Coz mne privadi k tomu, ze plivete na OSS - pricemz vetsinu tech "super" nastroju, ktere popisujete, jsou prave OSS. Takze ano, bez OSS je to shit, protoze na tom nebezi python, perl, atd. V dnesni dobe pouzivat COBOL z jinych nez historickych duvodu je proste blbost, to jiste uznate ;-) -
Lenin Žije (neregistrovaný)Licencni model AS/400 neni tak zly jak predvadite. Muzu mit napriklad 4 procesory v masine, ale pro DB2 pouzivat jen 2, protoze jich vic pro DB nepotrebuji a tudiz mam pak levnejsi licence. Flexibilita v licencovani nikdy neni na skodu.
Krom toho jak jsem ukazal pocet cracku na linux je asi 100x vetsi nez na iSeries. Takze ano, provozovat aplikaci na linux je bezesporu levnejsi ale jen do te doby nez ho nekdo crackne. Nebavime se ale o zabespeceni nejakeho serveru ala root.cz, kde kdyz to nekdo crackne nic se nedeje, proste se data obnovi ze zalohy. Uspesny crack registracni masiny by umoznil slohnout domeny v cene peknych par mega dolaru. Mne nepripada jako dobry napad usetrit desetitisice za licence a pritom 100 nasobne zvysit riziko ze mi nekdo ukradne desetimiliony. Mne pripada mnohem lepsi napad ty desetitisice rozlozit tak abychom se o tyto naklady podelili se zakazniky, na kazdeho vyjde ve finale jen par dolaru a to se jeste vydeli poctem zaregistrovanych domen.
Aplikacni server od Sunu jsme zkouseli. Verze Glassfish 2.0 nejenze nema vsechny featury WAS, ale hlavne leakuje pamet a deadlockuje se.
MQSeries neni nejaky extra drahy soft, koukam do ceniku a pro unixy stoji jen $66/PVU. Je to IO bound uloha, takze rekneme 2 cpu cores bohate staci, 150kc by to v klidu pokrylo. Vam to pripada drahy? Mne vubec ne.
S DB2 pracuji od verze 4, a uz ctyrka mela UDT a u SELECTU OPTIMIZE FOR XXX ROWS. Pravda LIMIT nemela ale to nebylo potreba: zadejte u dotazu optimize for 20 rows, fetchnete 20 radek, zavrete cursor.
Ja nepokladam python a perl za super nastroje. My je tu pro programovani na iseries vubec nepouzivame. Jen jsem ukazoval, ze pokud nekdo touzi na iseries po techto prostredcich je mozne jejich nainstalovani. V Cobolu si piseme kratke moduly do CICS. -
DC (neregistrovaný)Mají pravdu - nikdo je nepoužívá. To, že 50% zákazníků IBM má nějaký mainframe OS neznamená že jsou hodně používané. Jsme IBM advanced partner a všechno co klientům prodáváme stojí na strojích od IBM. Téměř všechno je AIX. Pravda, za ty roky se nainstalovaly dvě AS/400 a jeden z/OS - jedna z těch i5 pro nás. Ale to je všechno. Ta druhá i5 v jisté firmě teď běží AIX programy. :)
Kvůli tomu nepíšu. Mainframe OSy jsou prakticky mrtvý (byť System i je fakt c00l z hlediska virtualizace instrukčních sad, myšlenky univ. bytecodu, etc) a je to škoda. Takový p5XX s AIXem je něco jinýho. Ty dodáváme prakticky non-stop, ale to je klasický UNIX.
Všechno to začalo tou bezpečností a k tomu bych se chtěl vrátit. Je vidět Lenine že absolutně nemáš představu. Ty vycházíš z nějakých reportů Secunie? Hahahaha....
Pro AIX (vč. 5300-07-01) mám 5 local root exploitů a jeden remote root. To nemluvím o těch co ty - tyhle jsem našel já a nikde o chybách na kterých stojí nenajdeš ani slovo. Oficiálně neexistujou a proto mi budou ještě hodně dlouho fungovat. Další lokální "exploit" (díky, QSPGETSP/QSPPUTSP!) mám pro i5 (V5R4, seclev 50) na naší 570. Víš proč o nich nevíš a ty díry tam budeš mít otevřené pro lidi jako já ještě hodně dlouho? Protože jejich hodnota je mnohem větší a nikdo se jich jen tak pro svůj zápis do análů Bugtraqu nevzdá! Já si je budu držet, dokud nějakou náhodou nezmizí. Mainframe OS je bezpečnější MY ASS!
Můžu ti garantovat, že nejsem sám. Tvoje směšná čísla ze Secunie mají s realitou bezpečnosti jedinou skutečnou souvislost: čím větší, tím víc triviálních chyb bylo odstraněno a tím je daný systém blíž k bezpečnému ideálu. Všechny tyhle minoritní a proprietární systémy jsou svojí děravostí o několik řádů jinde (víc děravé), než Linux a spol. Fakt je ten, že když se automaticky držíte posledních updatů a máte dobrý vícevrstvý bezpečnostní model, je takový systém mnohem bezpečnější s Linuxem.
Nakonec si je ale potřeba uvědomit, že žádný systém není dokonalý a pokud potřebujeme absolutní bezpečnost, je potřeba předcházet možným útokům fyzicky. Demizony, oddělené service/maitenance sítě, firewally, IDS i na ten jeden (právě na ten jeden) portík, který máte na fw otevřený a běží na něm TA servisa, IDS uvnitř, anti-LKM moduly a nástroje, security labely, MAC. A tak dále, kam až sahá vaše oprávněná paranoia.
Málokterý systém je možné tak ověsit dodatečnou (a často účinnou) securitou jako Linux. To, že to nikdo nedělá, je jejich problém.
ZÁVĚR: AIX, i5, resp. stará AS/400: to všechno jsou - na poměry Linuxu - systémy děravé jak řešeta! Najít v nich díru je tisíckrát snazší než najít stejně dobrou díru v Linuxu. Jen doufám, že nejste nějaký bezpečnostní poradce. To pak pán budiž milosrdný s vašimi zákazníky. Hahahahahahahahaha... -
jojo (neregistrovaný)Oprava bez upgradu http://platon.sk/article.php?vmsplice-zranitelnost-rychla-oprava
ČLÁNKY DO MAILU