Blog (30)
Komentarze (4.7k)
Recenzje (0)

Linux dziurawy jak ser szwajcarski. Liczba odnajdywanych błędów szokuje.

Strona główna@Silny_OgorLinux dziurawy jak ser szwajcarski. Liczba odnajdywanych błędów szokuje.
14.03.2021 14:00

Kiedy oczy całego świata były skupione na 30 użytkownikach Windows (z czego 10 to prawdopodobnie użytkownicy Linuksa) dotkniętych problemami z poprawką KB5000802, Linus Torvalds pośpiesznie usuwał błąd, który usuwał dane z dysków użytkowników Linuksa. Torvalds usunął jeden błąd, ale każdego dnia tych błędów w Linuksie znajduje się więcej, niż można w sensownym czasie naprawić.

719408

Użytkownicy testujący RC1 dla jądra 5.12 dostali w prezencie nieoczekiwaną funkcjonalność: uszkodzony plik wymiany. Linus zapewnia, że plik wymiany działa:

bEKIizlz
Swapping still happened, but it happened to the wrong part of the filesystem, with the obvious catastrophic end results.

Działa, ale ponieważ informacje o początku pliku ulegały uszkodzeniu, system pisał dane tam, gdzie użytkownicy trzymali zdjęcia z ubiegłorocznych dożynek. Torvalds przyznał, że użytkownicy Linuksa mogli znaleźć się w sytuacji, kiedy system plików zostanie zastąpiony losowymi danymi:

You can end up with a filesystem that is essentially overwritten by random swap data.

Oczywiście nie jest to błąd, który mógłby siać spustoszenie w biznesie, tam nikt nie wrzuca RC na dev, stg, czy prod. W tym przypadku błąd dotknął deweloperów i użytkowników (pasjonatów) testujących nowe wersje Linuksa na domowych komputerach.

bEKIizlF

Naprawiono jeden błąd, ale oczywiste jest, że jakość kodu Linuksa nie jest na najwyższym poziomie, a błędów jest znacznie więcej. Ile? Trudno jednoznacznie określić, ale sądząc po wypowiedziach ludzi ściśle związanych z rozwojem Linuksa, sytuacja jest nieciekawa. Dan Lorenc, który odpowiada (w uproszczeniu) za bezpieczeństwo w Google, mówi wprost:

The challenge is that the Linux kernel is huge, it's software and all software has bugs, the more software there is the more bugs there are. The other thing is we've gotten very good at finding bugs, static analysis has come a long way, fuzzing has come along way, and we're finding bugs way faster than we can fix them. The next challenge is finding ways to fix them.

Nikt w Google nie korzysta z kerneli dostarczanych przez managery pakietów, bo te jądra są dziurawe jak ser szwajcarski. Google znajduje tam więcej błędów, niż są w stanie naprawić. Wyzwaniem jest również samo łatanie. Na dodatek w Linuksie jest masa błędów, których nikt naprawiać nie chce:

We don't want to stop finding them, but if you're finding bugs that nobody has time to look at, you're not really solving the whole problem.
bEKIizlG

Zabawna sytuacja, z jednej strony mamy nieustanną walkę o uczynienie Linuksa bezpiecznym (na tyle w jakim stopniu to możliwe), a z drugiej użytkowników, którzy myślą, że są bezpieczni, bo zainstalowali takiego Minta i to wystarczy. Clem Lefebvre pisze na swoim blogu, że wielu użytkowników nie tylko nie aktualizuje przeglądarek (Mint śledzi swoich użytkowników za pomocą Yahoo), ale również samego systemu.

Mam nadzieję, że to krótkie podsumowanie ostudzi neofitów, a fantastów sprowadzi na ziemię.

Update:

Okazuje się, że odkryto nowe podatności umożliwiające podwyższanie uprawnień.

bEKIizmv