Блог

Специалисты компании Qualys, проводя экспертизу библиотеки glibs, обнаружила уязвимость, которая носит характер критической, поскольку может привести к выполнению произвольного кода в системе. Технические подробности довольно активно обсуждаются на профильных форумах и группах соцсетей, но, на мой взгляд, интереснее тут совсем другое.

[spoiler]Оказывается, ошибка исправилась ещё в мае 2013 года при подготовке очередной версии glibs. Именно исправилась, а не была сознательно исправлена — иногда бывают такие побочные эффекты от внесения изменений в код. Таким образом, ни сами разработчики библиотеки, ни составители дистрибутивов не подозревали, что обновление устраняет серьёзную брешь в защите.

На практике это привело к тому, что в консервативных дистрибутивах, предназначенных для применения в крупном корпоративном секторе, уязвимость сохранилось — составители решили не обновлять библиотеку. Таким образом, опасности подвергались системы, построенные не только на Debian 7 и Ubuntu 12.04, но даже на Red Hat Enterprise Linux 6 и 7 (в настоящее время обновления для этих систем уже выпущены).

Между прочим, Red Hat Enterprise Linux Server 6.5 сертифицирован ФСТЭК России. Причём, в 2013 году, когда система была уязвима. Но это я так, к слову.

Интересней другое. В совершенно «некорпоративных» Ubuntu 13.10 и Fedora 21 эта уязвимость по понятным причинам отсутствует — там используется новая версия glibs, в которой ошибка исправилась.

Мораль истории такова — не надо делать культа ни из чего. В том числе и из консерватизма. Иногда это может привести к результату, противоположному ожидаемому.