Solo un comentario más (uno más mio, el resto hacer lo que querais xDDD):
Ya que esto parece una cabezonería entre Juan y los que le están
contestando.... porque no os dais ostias en privado. Creo que a la
lista le ha quedado claro que el bug existe, y esta reportado. El
resto son ganas....
Saludos!
El 13/02/08, Camaleón
El 13/02/08, Juan Erbes escribió:
Acaso no pueden detectarlo, sacar una solución provisoria, y recién anunciarlo? O están obligados a anunciarlo primero, y recién despues dar soluciones?
Lo que no tiene sentido es sacar un parche el día 8/02/2008 que corrige un exploit "de forma provisional" quitando o anlando código para añadirlo o activarlo después (¿por qué no sacar un parche con el código ya corregido?).
A lo que tampoco veo sentido es a sacar un anuncio de seguridad (12/02/2008) erróneo donde dice que el kernel está afectado y que no hay "work-around" posible" salvo instalar el parche que lo corrige.
Todo lo anterior, de ser cierto, es más peligroso que el propio exploit, porque:
a) La omisión deliberada de datos que se producen en los cambios que afectan al kernel -una vez sacado el parche de seguridad- me parece un asunto muy grave.
b) Pero más grave es saca un boletín de seguridad que indica de forma explícita y concreta que un kernel está afectado por un exploit si realmente no lo está.
Para que lo que tu dices sea válido, deberías haber puesto una referencia que corresponda a la primera detección de ese bug, de la cual aparecen referencias del 1 de febrero: https://bugzilla.redhat.com/show_bug.cgi?id=431206
De paso otro link mas, para reafirmar, todo lo que venía diciendo en el hilo, que la falla estaba en el archivo splice.c: http://isec.pl/vulnerabilities/isec-0026-vmsplice_to_kernel.txt
Sigue sin tener sentido... si el día 1/02/2208 se conoce el problema y la solución, ¿por qué no aplicar la solución a ese problema en ese parche liberado el día 8?
Ya para el dia 8 de febrero estaba el parche para el bug citado: http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.1
Realmente, me tienen arto de tantas estupideces!
Hum... vale. Sí, mejor preguntar al Sr. Meissner ;-).
Saludos,
-- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org