Что делать, если Linux также небезопасен?

(Ди Алессандро Руголо)
29/10/18

Среди немногих определений, которые я всегда имел в отношении операционных систем, я могу сказать, что «Linux лучше, чем Microsoft».
Но так ли это?
В наши дни открытие ошибка что позволяет эскалация привилегий на основных серверах Linux.
Il ошибка идентифицируется кодом CVE-2018-14665 и, по-видимому, идентифицирован Narendra Shinde.
Проблема не найдена в коде ядра Linux, но, как представляется, в коде наиболее используемых графических интерфейсов для дистрибутивов Linux, сервер X.org, начиная с версии 1.19.0.
Это означает, что в течение почти двух лет все системы, использующие серверы X.org, потенциально подвержены атакам на основе эскалация привилегий.

Чтобы быть ясным, системами, подверженными этой уязвимости, являются OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux и CentOS!

Я не думаю, что целесообразно продолжить технический анализ проблемы, в подробных ссылках в конце статьи можно найти необходимую информацию и предложения по решению проблемы. 
Меня интересует углубление некоторых аспектов, которые часто недооцениваются, и для этого я попытаюсь задать несколько простых вопросов, на которые я попытаюсь ответить.
Во-первых, что случилось с Unix, а затем Linux в прошлом?
И затем, кто решает, когда и как их применять заплата используемой системы или перехода на следующую версию?

Без сомнения, те, кто, подобно мне, имеет определенный возраст, она столкнулась с необходимостью использования командной строки Unix или Linux, или оба, который сейчас часто заменяется использованием графической версии. 
В introdizione график был успешным для систем, в результате чего многих потенциальных пользователей, делая систему Unix / Linux более похожую на системы Windows, но в то же время необходимо был увеличить сложность. Короче говоря, в то время как ранее существовали мощные и относительно светлые системы, внедрение графики привело к снижению кода.  
Операционные системы Linux, как правило, являются прерогативой техников, они используются внутри центр обработки данных для управления сетями и ИТ-системами, которые требуют высокой производительности, это их характер, но часто они мало известны руководителям и лицам, принимающим решения, которые полагаются на техников. Поведение правильное или нет, трудно сказать.

Кто лучше хорошего техника может сказать, что нужно, чтобы система работала лучше? Наверное, нет.

Но кто несет ответственность за компанию? Кто отвечает на юридические ошибки? Кто платит в случае несоблюдения законодательства о неприкосновенности частной жизни или в случае вычитания промышленной, военной или государственной тайны?

Теперь я думаю, что ясно, что технические специалисты должны иметь свою автономию, но я думаю, также ясно, что в серьезной организации должна использоваться система анализа рисков, которая также принимает во внимание технологический риск и анализ заплата (функциональность и безопасность), такие как анализ рисков при переходе от одной версии к другой.

Процесс, который продвигается к графике, очень похож на тот, который подтолкнул и все еще толкает к виртуализации ... Я надеюсь, что те, кто выбрал виртуализацию, сделали это сознательно!

Мне становится все более ясно, что нам нужно делать простые вещи, чтобы можно было осуществлять эффективный контроль, и это правило, которое, я считаю, всегда может быть действительным, тем более в области информационных технологий.
Разумеется, в критической ситуации необходимо убедиться, что технический персонал может работать с использованием безопасных инструментов и после четких процедур.

Возможность использования операционных систем Linux как следовательно, из командной строки, на мой взгляд, способность сохранять, не слишком притягиваясь к невыразимой легкости графических систем, которые в качестве контрагента увеличивают сложность кода и поверхности атаки.

Для углубления:

- https://www.nushinde.com
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives...
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-int...
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability

(фото: США)