Recomendaci?n FEDORA.

Raimundo Bilbao rbilbao en inzignia.cl
Sab Oct 16 17:22:26 CLST 2004


El Fri, Oct 15, 2004 at 04:54:31PM -0300, Blu escribio:

[...]


> 
> Digamos que es un exploit.
> 

ok...

[...]

> Con toda seguridad no, pero un parche proporcionado por el equipo de
> seguridad de la distribucion afectada o el autor del software algo de
> confianza se merece.

ok...

[...]

> Bueno, aqu? habria que sopesar el posible da?o de molestar a los
> usuarios durante un rato (se que puede ser caro), o arriesgarse a dejar
> una m?quina expuesta a un exploit que anda suelto durante varias horas,
> lo que podr?a significar desde tener que reinstalar todo en el mejor de los
> casos, a ver comprometidos datos sensibles en uno de los peores.
> 

[...]

> 
> Me parece muy bien ese m?todo, muy robusto y no se molesta a los
> usuarios, pero es aplicable cuando se tienen los recursos, el tiempo y
> el risgo de compromiso es bajo. Al menos yo preferir?a que me lumearan
> por bajar un servicio en hora de trabajo, a que me crucifiquen porque se
> robaron la base de datos o porque el dominio apareci? de pronto en todas
> las listas negras del mundo.


Siempres podrias tratar de jugar con UML (o vmware, o ...) para probar
antes de instalar sin necesitar de otra maquina (bueno no siempre pero
la mayoria de las veces si podrias)

Concuerdo en que es _potencialmente_ peligroso tener un equipo asi, pero
habria que considerar si el equipo en cuestion esta expuesto a un peligro
_real_ o no (un xploit en zlib, por ejemplo, no hace mucho da~no inmediato
dentro de tu LAN, pero si en la DMZ, con lo que tienes tiempo de resolver
el problema adecuadamente en el primer caso, en el segundo podrias estar con
la soga al cuello y necesitar medidas _de combate_)

Ahora ademas debes considerar _antes_ de actualizar si es que ese parche,
correctamente proporcionado y hasta firmado por los desarrolladores el 
cuento en cuestion no te ira a causar problemas colaterales (del tipo, ahora
no funciona la red y cosas asi), con lo que creo que te llegaria algo mas
que una _lumeada_ (o castigo ejemplar para el resto de los hispanoparlantes ;-D )

Por eso es que una politica de actualizacion _debe_ considerar dos posibles
caminos:
	
	a) confias en lo que tu distro dice y _aplicas_ el update de rigor cuando
	   la gran mayoria diga que todo anda _tranquilo_
	   
	b) si te sales del _buen_ sendero una vez estaras condenado de por vida
	   a preocuparte y aplicar una sesion de _STFW_ antes de hacer algo.



-- 
slds
rbf

-----------------------------
echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc



Más información sobre la lista de distribución Linux