El 13/02/08, Juan Erbes escribió:
Acaso no pueden detectarlo, sacar una solución provisoria, y recién anunciarlo? O están obligados a anunciarlo primero, y recién despues dar soluciones?
Lo que no tiene sentido es sacar un parche el día 8/02/2008 que corrige un exploit "de forma provisional" quitando o anlando código para añadirlo o activarlo después (¿por qué no sacar un parche con el código ya corregido?). A lo que tampoco veo sentido es a sacar un anuncio de seguridad (12/02/2008) erróneo donde dice que el kernel está afectado y que no hay "work-around" posible" salvo instalar el parche que lo corrige. Todo lo anterior, de ser cierto, es más peligroso que el propio exploit, porque: a) La omisión deliberada de datos que se producen en los cambios que afectan al kernel -una vez sacado el parche de seguridad- me parece un asunto muy grave. b) Pero más grave es saca un boletín de seguridad que indica de forma explícita y concreta que un kernel está afectado por un exploit si realmente no lo está.
Para que lo que tu dices sea válido, deberías haber puesto una referencia que corresponda a la primera detección de ese bug, de la cual aparecen referencias del 1 de febrero: https://bugzilla.redhat.com/show_bug.cgi?id=431206
De paso otro link mas, para reafirmar, todo lo que venía diciendo en el hilo, que la falla estaba en el archivo splice.c: http://isec.pl/vulnerabilities/isec-0026-vmsplice_to_kernel.txt
Sigue sin tener sentido... si el día 1/02/2208 se conoce el problema y la solución, ¿por qué no aplicar la solución a ese problema en ese parche liberado el día 8?
Ya para el dia 8 de febrero estaba el parche para el bug citado: http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.1
Realmente, me tienen arto de tantas estupideces!
Hum... vale. Sí, mejor preguntar al Sr. Meissner ;-). Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org