Kan utløse «kernel panic» på enorme mengder Linux-enheter via internett

[timeshift]

det er vanskelig å tyde poenget med de to setningene, oppdelt eller ei, og det retoriske spørsmålet på noen andre vis enn at du mener noe ikke fungerer i praksis. Er det dette du mener så må du spesifisere hva som ikke fungerer og hvorfor du mener det. Det er ikke opp til andre å utrede et problem som du mener eksisterer. Om det ikke er dette du vil frem til i det hele tatt så må du vennligst forklare bedre hva det er du faktisk prøver å si.

 

Hvorfor du tilsynelatende fremstiller frivillig engasjerte som et negativ er også noe du gjerne må forklare bedre. Det kan virke som du har har noen fastlåste holdninger som strekker seg 20 år tilbake i tid for en stor andel bidragsytere til Linux er nemlig ikke dugnadsarbeidere, men som i eksemplene over er de lønnede ansatte i selskaper med interesser i Linux. For ikke å misforstå så kan drivkraften og gleden med å bidra til et felles gode være like stor selv om man er underlagt en arbeidsgiver, mange starter frivillig og får seg senere betalt jobb for det de stortrives med, men med over 1400 involverte selskaper så er det i beste fall uinformert å kalle det et rent dugnadsprosjekt (kilde).

[Gjest Slettet-t8fn5F]

Du har etablert at du mener det er et problem at det foregår på dugnad (sannhet med modifikasjoner). Hva du legger i eierskap er jeg usikker på, men de som styrer et open source prosjekt føler nok eierskap til det.

Du har fortsatt ikke redegjort for hva problemet er. Det må finnes en negativ konsekvens du mener er en følge av nettopp det du påstår. Eller er bare det at du misliker det du kaller dugnad så mye at alt annet er uvesentlig?

Ikke forstår du og ikke gjorde du et forsøk i å forstå, så poff er du på min liste.

[Gjest Slettet-t8fn5F]

timeshift skrev (På 21.6.2019 den 14.45):

det er vanskelig å tyde poenget med de to setningene, oppdelt eller ei, og det retoriske spørsmålet på noen andre vis enn at du mener noe ikke fungerer i praksis. Er det dette du mener så må du spesifisere hva som ikke fungerer og hvorfor du mener det. Det er ikke opp til andre å utrede et problem som du mener eksisterer. Om det ikke er dette du vil frem til i det hele tatt så må du vennligst forklare bedre hva det er du faktisk prøver å si.

 

Hvorfor du tilsynelatende fremstiller frivillig engasjerte som et negativ er også noe du gjerne må forklare bedre. Det kan virke som du har har noen fastlåste holdninger som strekker seg 20 år tilbake i tid for en stor andel bidragsytere til Linux er nemlig ikke dugnadsarbeidere, men som i eksemplene over er de lønnede ansatte i selskaper med interesser i Linux. For ikke å misforstå så kan drivkraften og gleden med å bidra til et felles gode være like stor selv om man er underlagt en arbeidsgiver, mange starter frivillig og får seg senere betalt jobb for det de stortrives med, men med over 1400 involverte selskaper så er det i beste fall uinformert å kalle det et rent dugnadsprosjekt (kilde).

Skjønner ikke du heller hva det vil si at ingen har ansvar på å tette sårbarheter som oppdages?

[process]

Ikke forstår du og ikke gjorde du et forsøk i å forstå, så poff er du på min liste.

Kan du slenge meg på den listen også er du snill.

[Gjest Slettet-t8fn5F]

Kan du slenge meg på den listen også er du snill.

Nei det må du nok gjøre selv.

[timeshift]

Har ikke de 1400 involverte selskapene eller 15000 individuelle utviklerne eller forsovet de konkrete utviklerne nevnt innledningsvis tatt ansvar? Om ikke dette engasjementet er å ta et ansvar så må du spesifisere hva som ikke fungerer og hvorfor du mener det.

[Gjest Slettet-t8fn5F]

Har ikke de 1400 involverte selskapene eller 15000 individuelle utviklerne eller forsovet de konkrete utviklerne nevnt innledningsvis tatt ansvar? Om ikke dette engasjementet er å ta et ansvar så må du spesifisere hva som ikke fungerer og hvorfor du mener det.

Hvem av de har ansvaret? Om ingen har ansvaret så blir jo utviklingen på lykke og fromme alt ettersom hvem som gidder, altså dugnad.

Endret 21. juni 2019 av Slettet-t8fn5F

[Bing123]

Hvem av de har ansvaret? Om ingen har ansvaret så blir jo utviklingen på lykke og fromme alt ettersom hvem som gidder, altså dugnad.

 

Ja, kan jo hende verken Google, Netflix, Oracle, Facebook eller Canonical "gidder" å fikse en kritisk sårbarhet i systemet som deres milliard-businesser er helt fullstendig avhengige av.

 

Blir litt som å si at du feks du er en del av en husstand på 5 stk, alle spinnvilt ivrige brukere av internett. Men når internett ramler ned, så er det ingen som gidder å gjøre noe, fordi ingen har definert hvem som har ansvaret.

[quantum]

Jeg vet ikke hvorfor IBM kjøpte opp Redhat. Det er ikke lenger i min natur å stille spørsmål om forretningmodellen til IBM.

Men dette fant jeg på nettet om hvorfor.

 

For øvrig har jo påstanden vært at Linux er trygt og sikkert fordi det er bygd på Unix, som igjen er designet på en svær sikker måte.

 

Lær deg å bruke sitater og referanser riktig, du driver stadig og limer inn screenshots av referansene dine, det er jo helt merkelig. Anyways spørsmålet var ment retorisk, tror du IBM kjøper opp RH for å tilby software hvor "ingen er ansvarlige for å utbedre sikkerhetshull som oppdages. Ingen har eierskap og lapping foregår på dugnad"? Du har misforstått hele OpenSource-konseptet. For det er det som er påstanden vi diskuterer her. Hva andre har påstått om Linux får du ta opp med dem det gjelder. 

[quantum]

Hvem av de har ansvaret? Om ingen har ansvaret så blir jo utviklingen på lykke og fromme alt ettersom hvem som gidder, altså dugnad.

 

Det er jo ganske naivt å tro at eierskap impliserer ansvar ... Og så er det ikke sånn at OpenSource og eierskap - i form av rettigheter - er gjensidig utelukkende. Premissene dine er helt på jordet, grunnet din mangel på grunnleggende kunnskap om OpenSource. Ulike OS-prosjekter følger ulike prinsipper, ref CatB (https://en.wikipedia.org/wiki/The_Cathedral_and_the_Bazaar), noen følger "dugnadsprinsippet", med de fordeler og ulemper det medfører.

[Bro2]

Ikke forstår du og ikke gjorde du et forsøk i å forstå, så poff er du på min liste.

Du overbeviser ingen her med "argumentasjonen" din. Dette temaet har du rett og slett ikke peiling på.

 

Ut ifra det jeg har lest på andre tråder er det ikke dette det eneste temaet du fremviser en absurd skråsikkerhet tross åpenbare kunnskapsmangler. I tillegg har du en seriøst umoden og utrivelig tone, som ikke akkurat hjelper saken din.

 

Den banne-listen fremstår mest som hedersliste spør du meg, så takk for at du la meg til.

[Gjest Slettet-t8fn5F]

Lær deg å bruke sitater og referanser riktig, du driver stadig og limer inn screenshots av referansene dine, det er jo helt merkelig. Anyways spørsmålet var ment retorisk, tror du IBM kjøper opp RH for å tilby software hvor "ingen er ansvarlige for å utbedre sikkerhetshull som oppdages. Ingen har eierskap og lapping foregår på dugnad"? Du har misforstått hele OpenSource-konseptet. For det er det som er påstanden vi diskuterer her. Hva andre har påstått om Linux får du ta opp med dem det gjelder. 

Det er helt normalt å lime inn det man har hentet ut OG legge ved linken, så slipper andre å lete etter hvor man har hentet det. Ellers kan man jo bare lage selv sine argumenter i et word-dokument og screenshotte.

 

Vel om IBM nå eier RH, så vil nok de ha ansvaret for å patche opp RH.

Google har garantert endel ansvar for Android.

Endret 22. juni 2019 av Slettet-t8fn5F

[Gjest Slettet+5132]

Skjønner du ikke i det? Hvor har du vært de siste 20 årene der man har hørt det 24/7 at Linux er så fordømt sikker.

Linux et flaggskip....  Se der. Du fortsette i samme sporet som de andre har gjort i 20 år.

Det verste med åpen kildekode, er at ingen er ansvarlige for å utbedre sikkerhetshull som oppdages. Ingen har eierskap og lapping foregår på dugnad.

Du misforstår hvordan mye utvikling av åpen kildekode, inkludert Linuxkjernen, fungerer. Mange har som jobb å utvikle mot Linux-kjernen, så det finnes folk som får betalt og har ansvar for å rette opp slike feil. At kildekoden er åpen og fri betyr ikke at folk ikke har et ansvar for den, ei heller ikke at ingen har som jobb å vedlikeholde og videreutvikle koden.

 

Og så finnnes det utrolig nok også folk som gjør ting uten å bli tvunget til det av en sjef. Kanskje vanskelig å forestille seg hvis du bare har hatt jobber hvor folk har sagt nøyaktig hva du skal gjøre.

Endret 22. juni 2019 av Slettet+5132

[Gjest Slettet-t8fn5F]

Du misforstår hvordan mye utvikling av åpen kildekode, inkludert Linuxkjernen, fungerer. Mange har som jobb å utvikle mot Linux-kjernen, så det finnes folk som får betalt og har ansvar for å rette opp slike feil. At kildekoden er åpen og fri betyr ikke at folk ikke har et ansvar for den, ei heller ikke at ingen har som jobb å vedlikeholde og videreutvikle koden.

 

Og så finnnes det utrolig nok også folk som gjør ting uten å bli tvunget til det av en sjef. Kanskje vanskelig å forestille seg hvis du bare har hatt jobber hvor folk har sagt nøyaktig hva du skal gjøre.

Jeg stiller jo et enkelt spørsmål. Hvem har ansvaret for å patche opp sårbarheter. Så langt har ingen kunne komme med noe konkret svar på det annet enn det jeg selv har kommet med.

 

Hvordan er det da å missforstå, når ingen har ansvaret, så er det hipp som happ hvem som patcher.

 

Hvem har ansvaret for at disse Linuxboksene unngår å få kernel panic, slikt artikkelen beskriver?

 

Hvem kan man henvende seg til og hvem skal fikse SACK Panic. Den ble tross alt registrert for snart 2 måneder siden CVE-2019-11477

Hvem er ansvarlig om denne sårbarheten ødelegger f.eks. for Netflix? Hvem kan de saksøke?

[Gjest Slettet+5132]

Jeg stiller jo et enkelt spørsmål. Hvem har ansvaret for å patche opp sårbarheter. Så langt har ingen kunne komme med noe konkret svar på det annet enn det jeg selv har kommet med.

 

Hvordan er det da å missforstå, når ingen har ansvaret, så er det hipp som happ hvem som patcher.

 

Hvem har ansvaret for at disse Linuxboksene unngår å få kernel panic, slikt artikkelen beskriver?

 

Hvem kan man henvende seg til og hvem skal fikse SACK Panic. Den ble tross alt registrert for snart 2 måneder siden CVE-2019-11477

Hvem er ansvarlig om denne sårbarheten ødelegger f.eks. for Netflix? Hvem kan de saksøke?

 

 

Det finnes ikke EN person som har ansvar for å patche sårbarheter. Det er folk ansvarlige for de forskjellige submodulene i Linux-kjernene. Nøyaktig hvem som er ansvarlig for nettverksdelen nå vet jeg ikke, men det finnes folk som er det. 

 

Og forøvrig, buggen du linker til er fikset: "This has been fixed in stable kernel releases 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, and is fixed in commit 3b4929f65b0d8249f19a50245cd88ed1a2f78cff."

 

Og forøvrig: Det finnes bug tracker for Linux-kjernen, der henvender man seg. 

 

Og ditt behov for å saksøke er litt malplassert. 

Endret 22. juni 2019 av Slettet+5132

[Gjest Slettet-t8fn5F]

Det finnes ikke EN person som har ansvar for å patche sårbarheter. Det er folk ansvarlige for de forskjellige submodulene i Linux-kjernene. Nøyaktig hvem som er ansvarlig for nettverksdelen nå vet jeg ikke, men det finnes folk som er det. 

 

Og forøvrig, buggen du linker til er fikset: "This has been fixed in stable kernel releases 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, and is fixed in commit 3b4929f65b0d8249f19a50245cd88ed1a2f78cff."

 

Og forøvrig: Det finnes bug tracker for Linux-kjernen, der henvender man seg. 

 

Og ditt behov for å saksøke er litt malplassert. 

Nå er det jo ikke personene som er interessante, men hvilke firmaer som har ansvaret. Det er tydeligvis ingen som har ansvaret, så dere kan slutte med å svare at noen har ansvaret, når dere ikke kan si hvilke firmaer/organisasjoner det er.

 

Siden den sårbarheten er fikset, så er hele artikkelen daukjøtt.

 

Mitt behov for å saksøke. Jeg skrev ganske så uttrykkelig at det kunne f.eks. være Netflix, så jeg har ingen tjenester jeg selger og må forholde meg til noen leverandører.

[process]

Denne ble fikset før detaljene ble sluppet på mandag. Cve nummeret ble reservert tidligere. I det den ble offentliggjort på mandag, eksisterte patchen for kjernen. I dette tilfellet var det ikke nødvendig med en patch, det var kun nødvendig å skru av sack.

 

Ansvaret ligger stort sett på vedlikeholderene av upstream, men denne ble koordinert og fikset av Netflix.

 

Netflix, samt de største software og skyleverandørene hadde en egeninteresse i å sikre sin egen infrastruktur og siden det er open source kommet det alle til gode.

Denne ble fikset før detaljene ble sluppet på mandag. Cve nummeret ble reservert tidligere. I det den ble offentliggjort på mandag, eksisterte patchen for kjernen. I dette tilfellet var det ikke nødvendig med en patch, det var kun nødvendig å skru av sack.

 

Ansvaret ligger stort sett på vedlikeholderene av upstream, men denne ble koordinert og fikset av Netflix.

 

Netflix, samt de største software og skyleverandørene har en egeninteresse i å sikre sin egen infrastruktur og siden det er open source kommer det alle til gode.

 

Ansvaret er felles, men ikke på den måten at det er uklart. Red Hat feks. har ansvaret for kjernene de distribuerer, med eget kernel og QE team - men bidrag kan ende opp i upstream slik at ikke alle må gjøre samme jobben.

 

Tilsvarende utvikles også kubernetes - hvor ansvaret som sådan ligger på google, men bidrag fra mange andre aktører. Du må gjerne sende en patch selv, men det er en del krav de som sitter på ansvaret / merge knappen før noe blir akseptert.

Endret 22. juni 2019 av process

[quantum]

Det er helt normalt å lime inn det man har hentet ut OG legge ved linken, så slipper andre å lete etter hvor man har hentet det. Ellers kan man jo bare lage selv sine argumenter i et word-dokument og screenshotte.

 

Vel om IBM nå eier RH, så vil nok de ha ansvaret for å patche opp RH.

Google har garantert endel ansvar for Android.

 

Riktig, og det bør du også begynne med. 

[quantum]

Hvem kan de saksøke?

 

Du kan "saksøke" den du har betalt for å løse problemet, dvs. har kjøpt lisens med support av, hvis det ikke blir fikset som avtalt. Eksempelvis RedHat hvis du kjører RHEL. Men det er begrensninger i hva slike avtaler dekker. Har du prøvd å klage til Microsoft for å få de til å rette en feil som plager deg? Eller Apple? Hvordan syns du det gikk? Står det noe i lisensen din som tilsier at du har noen rettigheter i det hele tatt, annet enn at du for et begrenset tidsrom får lov til å bruke programvaren du aldri eier uansett, men bare får låne i den kvalitets-tilstanden som leverandøren syns er tilstrekkelig? Lisensavtalene for kommersiell, lukket kildekode-basert programvare er sjelden annet enn ansvarsfraskrivelser og presisering av alle rettigheter kjøperen IKKE har.

 

Når du stadig driver og spør om dette viser det bare at du ikke forstår at tilgjengeligheten av kildekoden ikke er avgjørende for hvordan ansvaret fordeles, det avhenger av hvordan prosjektet er organisert, jfr. referansen jeg har sendt deg allerede. 

Endret 22. juni 2019 av quantum

[Sokkalf™]

Nå er det jo ikke personene som er interessante, men hvilke firmaer som har ansvaret. Det er tydeligvis ingen som har ansvaret, så dere kan slutte med å svare at noen har ansvaret, når dere ikke kan si hvilke firmaer/organisasjoner det er.

 

Siden den sårbarheten er fikset, så er hele artikkelen daukjøtt.

 

Mitt behov for å saksøke. Jeg skrev ganske så uttrykkelig at det kunne f.eks. være Netflix, så jeg har ingen tjenester jeg selger og må forholde meg til noen leverandører.

 

Det finnes ikke noe enkeltfirma som har ansvar. Det er imidlertid mange av de selskapene som har bidratt som selger linux-baserte tjenester. Enten support, eller en skytjeneste, eller en lisens på et produkt hvor linux-kjernen inngår.

 

Disse er ansvarlige for sikkerheten i produktet eller tjenesten sin.

 

Siden linux er open source og fritt, og det er mange andre som har samme problem når et slikt sikkerhetshull oppdages, så velger man altså å utvikle en løsning kollektivt. Akkurat hvem som gjør det er ikke så viktig. Hadde ikke de som har laget patchen i denne omgang gjort det, ville noen andre kommet med en løsning.

 

Også pga. free software-modellen, er den som lager en slik patch i linux-kjernen og distribuerer den FORPLIKTET til å gjøre kildekoden tilgjengelig.

 

Jeg mener dette er en ganske sunn modell å jobbe etter.