OwnCloud - Домашнее облако на Linux Ubuntu (Часть 1)
Spisu treści:
- Dlaczego w repozytoriach Ubuntu jest dostępne wrażliwe oprogramowanie?
- Ciemna strona rozwoju wspieranego przez społeczność
- ownCloud i Ubuntu idą tam iz powrotem
- To się zdarza regularnie
Wersja ownCloud w repozytoriach Universe Ubuntu jest stara i pełna "wielu krytycznych luk w zabezpieczeniach". Nie jest tajemnicą. Sam projekt ownCloud zwrócił się do Ubuntu o usunięcie go, aby użytkownicy nie mieli wrażliwego oprogramowania serwera. Ubuntu zasugerował, aby ownCloud ich zastąpił. OwnCloud uważał to za absurdalne - chcą tylko pisać oprogramowanie i nie utrzymywać go w repozytoriach każdej dystrybucji.
Ubuntu wreszcie podejmuje akcję i wysyła pusty pakiet, który wyłączy wrażliwe oprogramowanie serwera ownCloud w systemach Ubuntu 14.04. Ale ta całotygodniowa próba pokazuje poważną słabość w sposobie pakowania, dystrybucji i aktualizacji oprogramowania Linux.
Dlaczego w repozytoriach Ubuntu jest dostępne wrażliwe oprogramowanie?
Większość użytkowników Linuksa zazwyczaj otrzymuje swoje oprogramowanie za pośrednictwem swojej dystrybucji Linuksa repozytoria oprogramowania. Użytkownicy systemu Linux są informowani, że jest to najlepszy i najbezpieczniejszy sposób na uzyskanie oprogramowania. Możesz łatwo zainstalować go ze scentralizowanego źródła, a twoja dystrybucja Linuksa jest wtedy odpowiedzialna za aktualizowanie go i otrzymywanie aktualnych aktualizacji bezpieczeństwa.
Tak powinno działać, ale tak nie zawsze działa. W tym przypadku ownCloud znajduje się w repozytorium "Universe" systemu Ubuntu, które jest pełne oprogramowania wspieranego przez społeczność. Canonical i główni programiści Ubuntu nie zobowiązali się do wspierania tego oprogramowania za pomocą aktualizacji zabezpieczeń.
Steam w Centrum Oprogramowania Ubuntu.
Centrum Oprogramowania Ubuntu dostarcza trochę ostrzeżenia o tym, ale większość użytkowników Linuksa nie zobaczy to. Repozytorium Universe jest domyślnie włączone, więc większość użytkowników Linuksa nie ma pojęcia, że większość oprogramowania w Ubuntu Software Center nie jest oficjalnie wspierana przez Ubuntu z aktualizacjami zabezpieczeń.
Ciemna strona rozwoju wspieranego przez społeczność
Społeczność Ubuntu - w tym przypadku, kto pierwszy załadował i zapakował oprogramowanie - jest odpowiedzialny za tworzenie zaktualizowanych, bezpiecznych pakietów ownCloud, aby użytkownicy mogli uzyskać te aktualizacje zabezpieczeń.
Wydaje się, że programista pracujący nad programem ownCloud stracił zainteresowanie, więc aktualizacje nie były wydawane od stycznia. Nic nie wskazuje na to, że wydadzą aktualizację.
To jest mroczna, ukryta prawda o sposobie działania większości repozytoriów oprogramowania dystrybucji Linuksa. Użytkownik jest zależny od członka społeczności, aby uzyskać wszelkie aktualizacje zabezpieczeń i nie ma żadnych rzeczywistych zobowiązań wobec użytkownika. Mogą przejść do czegoś innego i pozostawić podatne na ataki oprogramowanie w twoim systemie.
Jak opisali Canon Deslauriers firmy Canonical na liście mailingowej: "Pakiet owncloud w Ubuntu jest we wszechświecie, co oznacza, że jest utrzymywany przez społeczność Ubuntu. Ktoś musi przyspieszyć i zająć się tym. Jeśli nikt tego nie robi, to niestety pozostaje taki, jaki jest. "
ownCloud i Ubuntu idą tam iz powrotem
Aby rozwiązać ten problem, ownCloud wykonał bardzo nietypowy krok wysyłania wiadomości na listę mailingową Ubuntu , prosząc programiści Ubuntu o usunięcie paczki z repozytoriów. Nie mają oczywiście żadnego prawa do tego, by tego wymagać - to oprogramowanie open-source. Ale chcieliby uniemożliwić użytkownikom korzystanie z tego starego, wrażliwego oprogramowania.
Ich propozycja wydawała się prosta. W końcu programiści Ubuntu mogliby wydać nową wersję pakietu, który był całkowicie pusty. OwnCloud zostałby usunięty, gdy użytkownik zaktualizowałby swój system. Ci użytkownicy mogliby następnie zainstalować ownCloud z pakietów ownCloud zapewniających Ubuntu, które są tworzone przez usługę budowania openSUSE. ownCloud byłby odpowiedzialny za aktualizację systemów użytkowników za pomocą aktualizacji zabezpieczeń w odpowiednim czasie.
Uszkodzona wersja ownCloud zainstalowana z repozytoriów Ubuntu.
Programiści Ubuntu początkowo nie zgadzali się na to. Dlaczego tak nie działa system! Pakiet jest teraz zamknięty dla wersji stabilnej i nie powinien zawierać większych zmian, mimo że jest to zasadniczo niezabezpieczone oprogramowanie serwera. Właściwie usunięcie go byłoby bardzo nietypowe. Zaproponowali, że ownCloud powinien przejąć utrzymanie pakietów ownCloud w Ubuntu i zachować je na bieżąco. Przynajmniej zadaniem ownCloud było stworzenie pustego pakietu i przejście przez biurokratyczny proces, aby go wypchnąć.
Twórcy OwnCloud myśleli, że to szalone. Chcą skupić się na tworzeniu oprogramowania i już zapewniają jedno miejsce, w którym użytkownicy Linuksa mogą otrzymywać pakiety i aktualizacje dla różnych dystrybucji Linuksa. Nie chcą poświęcać czasu na pakowanie swojego oprogramowania, boją się różnych dystrybucji Linuksa i utrzymują go w różnych repozytoriach. Jak Lukas Reschke ownCloud wyjaśnił:
"Z mojej strony, moja praca została wykonana tutaj, poinformowałem odpowiedzialne osoby za pośrednictwem wielu kanałów i jeśli nie mają zamiaru samodzielnie rozwiązać problemów, możemy bardzo dobrze (sic!) z tym i po prostu dodamy duże ostrzeżenie o zabezpieczeniach do naszego przewodnika instalacji. "
Podczas cofania się, użytkownicy Ubuntu pozostawali z tym starym, wrażliwym oprogramowaniem serwera przez kilka tygodni.
OwnCloud nie ma Repozytoria Ubuntu 14.10, ale znajdują się w repozytoriach Ubuntu 14.04. Na szczęście Ubuntu jest teraz w trakcie wypychania pustego pakietu, aby usunąć wrażliwą wersję ownCloud. Jonathan Riddell z Kubuntu przyspieszył, aby wykonać niezbędną pracę, rozładowując sytuację.
To się zdarza regularnie
To nie jest jednorazowy problem, chociaż jest tym razem dużo, ponieważ jest o oprogramowaniu serwera, o którym mówimy - oprogramowaniu, które jest bezpośrednio narażone na działanie Internetu, w którym może zostać naruszone.
W przeszłości osobiście zgłosiłem kilka błędów bezpieczeństwa bezpośrednio do Ubuntu w Launchpad. W najbardziej nieokreślonym przypadku wersja Java dodana do repozytorium Multiverse we współpracy z firmą Sun-complete ze świecącą informacją w mediach o tym, że Sun "bezpośrednio współpracowała z Canonical" na opakowaniu - została pozostawiona jako stary, wrażliwy pakiet . Ubuntu po prostu nie uważało, że ich zadaniem jest dostarczanie zaktualizowanych, bezpiecznych wersji Javy dla aktualnego wydania Ubuntu, nawet gdy wydali tę aktualizację bezpieczeństwa dla przyszłych, rozwojowych wydań Ubuntu. Oto smutny raport o błędzie z 2007 roku.
Chcesz być na bieżąco z systemami Linux, BSD, Chrome OS i resztą World Beyond Windows? Dodaj zakładkę do strony World Beyond Windows lub skorzystaj z naszego kanału RSS.
W końcu wiele różnych dystrybucji Linuksa z własnymi repozytoriami i formatami pakietów stwarza problemy. Pakiety są często tworzone i utrzymywane przez użytkowników, którzy mogą odejść w dowolnym momencie. Nie da się tego obejść - i jest to poważny problem w Linuksie.
Na szczęście, wspólne oprogramowanie serwerowe, takie jak Apache i oprogramowanie komputerowe, takie jak Firefox, poświęca im więcej uwagi. Są to na przykład repozytorium "Główne" w systemie Ubuntu, w którym Canonical zobowiązuje się do dostarczania na czas aktualnych aktualizacji zabezpieczeń. Uważaj na oprogramowanie serwerowe obsługiwane przez społeczność.
Ciemna strona technologii: Przebiegłe urządzenia zaprojektowane, by cię skrzywdzić
Od skimmerów ATM, które kradną twoje pieniądze na hackowalne pompy insulinowe, technologia ma ciemność bok. Różne formy podstępnej technologii mogą mieć przerażające konsekwencje.
Ubuntu, ownCloud i ukryta ciemna strona repozytoriów oprogramowania Linux
Pędzel między Canonical i ownCloud, który zostawił nieobsługiwana wersja oprogramowania serwera w repozytorium oprogramowania Ubuntu
