Pinlig Open Source Spin
Vi open source fantaster er hurtige på aftrækkeren når Microsoft og andre "spinner" på bekostning af alle de værdier vi holder højt, sandhed, klarhed, fakta osv.
Hvad der er godt for gåsen er godt for gasen, som de siger i England og derfor tager jeg på det skarpeste tager afstand fra spin, også når det kommer fra et open source projekt.
OpenBSD har slået sig stort op på at være det sikre operativsystem og derfor klæder de dem overhovedet ikke, at de prøver at snakke udenom, når der bliver fundet en klokkeklar fejl i deres kode.
Pinligt!
phk
PS: Så vidt jeg kan se er det (bare endnu) en fejl i den vakkelvorne IPv6 netværkskode, som det japanske KAME konsortium producerede, så det er ikke engang nogen af OpenBSD's egne folk der har dummet sig.
Om Poul-Henning KampSelvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.
Follow @bsdphkKommentarer (8)
Der står klart i den refererede tekst at fejlen både kan bruges til remote code execution og DOS angreb.
Poul-Henning, gider du ikke forklare lidt bedre til alle os, der ikke er OpenBSD fans, hvad du mener, problemet er?
-
0 -
0
Først omdøber OpenBSD det fra "vulnerability" fordi det ord kan de ikke lide.
Derefter bagateliserer de fejlen og siger at den kan ikke bruges til noget særligt.
Når de så får smidt et exploit i hovedet frigiver det et "reliability fix".
Først da Core skruer bissen på ændrer OpenBSD, tilsyneladende meget modvilligt sagen til "security fix".
Poul-Henning
-
0
-
0
Fra openbsd.org;
"Only two remote holes in the default install, in more than 10 years!"
Nu ved jeg ikke om 2 huller er med eller uden den du nævner (eller om ipv6 er med i default install). Lidt sørgeligt de piver ja, men 1, 2 el 3 huller på 10 år synes jeg stadig er noget de kan være stolte af.
Mvh,
Søren
-
0
-
0
Det er formentlig inklusiv det nyeste hul:
http://www.openbsd.org/cgi-bin/cvsweb/www/index.html
(se diff mellem 1.548 og 1.549)
Men ja, selv om jeg læner mig op af at være OpenBSD zealot, så er det skammeligt, at de forsøgte at bagatellisere hullet...
-
0
-
0
Der findes vist ligeså mange måder at læse ting på som der findes mennesker (eller :), men jeg læser det nu på en lidt anden måde en PHK.
For mig forsøger man ikke bevidst at skjule et remote exploit, men man hæver ikke niveauet til DEFCON 5 før man er sikker på hvad der er tale om.
Ville FreeBSD råbe "alarm alarm!!" før de var sikre på hvad der var galt?
/Kim
-
0
-
0
Kim, hvis du kigger på selve fejlen, så er det ret indlysende at det kun er et spørgsmål om kombinatorik eksekvere kode.
Hvis OpenBSD folkene ikke kunne se det er de dybt inkompetente, hvis de kunne se det, prøvede de at holde fejlens alvor skjult for offentligheden.
Take your pick.
Jeg ved at de er kompetente, så jeg kan ikke tro på den første mulighed.
Poul-Henning
-
0
-
0
ok ok, det er måske rigtigt, men måske skal man også overveje hvor mange af den slags henvendelser der kommer
i øvrigt sjovt at sammenligne de her par filer:
http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/kern/uipc_mbuf2.c?rev=1.33...
http://www.openbsd.org/cgi-bin/cvsweb/src/sys/kern/uipc_mbuf2.c?rev=1.24...
ting som:
* XXX: This code is flawed because it considers a "writable" mbuf
* data region to require all of the following:
;)
-
0
-
0
Tilføj kommentar
