Automatisierte Bugsuche 1.200 Crashes in Debian

Neuigkeiten rund um GNU/Linux
Antworten
Henrikx

Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von Henrikx » 02.07.2013 13:29:43

Mit dem automatisierten Tool Mayhem sucht ein Forscherteam nach Bugs und möglichen Sicherheitslücken. Erstes Ergebnis: 1.200 Crash-Bugs in Debian.
golem.de

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von hikaru » 02.07.2013 13:51:22

Leider ist Mayhem proprietär:
Alexandre Rebert hat geschrieben:Mayhem is however not open source,

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von wanne » 02.07.2013 14:07:33

Das ist Käse. Wenn du mal die ML liest erkennst du das die alle Möglichen Anwendungen mit komischen absurden Parametern und config-Files gefüllt haben, und geguckt haben was abstürzt.
Zum großen Teil ist der Fehler da aber gar nicht im Programm selbst sondern in einer lib. Sprich: Wenn da ne lib einen Fehler hat haben die gleich mal erklärt das alle Programme, die die nutzen einen Fehler haben.
=> Mit einem einzigen Fehler in einer häufig genutzten lib kommen die halt gleich mal auf ein paar hundert Bugs. Da hats die 1,2k schnell.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von hikaru » 02.07.2013 14:20:17

wanne hat geschrieben:=> Mit einem einzigen Fehler in einer häufig genutzten lib kommen die halt gleich mal auf ein paar hundert Bugs. Da hats die 1,2k schnell.
Da sich Mayhem auf Binary-Ebene bewegt können die auch gar nicht anders.
Des Lib-Problems sind sie sich auch bewusst. Deshalb haben sie ja Obergrenzen für Fehlermeldungen eingezogen und erstmal die ML angeschrieben statt tausende Bugreports loszuschicken.

Benutzeravatar
Debiander
Beiträge: 730
Registriert: 27.10.2007 21:21:59
Wohnort: Luzern

1.200 Crashes in Debian

Beitrag von Debiander » 02.07.2013 19:35:01

Das ist ja unglaublich.
Man lese: http://www.golem.de/news/automatisierte ... 00138.html
Damit ist Debian ja fast unbrauchbar könnte man glauben.
Natürlich nicht. Bei den anderen Distributionen ist die Quote vielleicht gar noch höher.
Wie seht ihr das?

Gruß Debiander

Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: 1.200 Crashes in Debian

Beitrag von Dogge » 02.07.2013 19:39:58

Hatten wir das nicht heute schon?
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: 1.200 Crashes in Debian

Beitrag von Blackbox » 02.07.2013 19:50:14

Ich möchte mal die Ergebnisse bei den »Errungenschaften« aus Redmond oder Cupertino sehen, diese werden natürlich nicht veröffentlicht, dabei funktioniert der Test auch bei Closed Software.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: 1.200 Crashes in Debian

Beitrag von rendegast » 02.07.2013 20:02:15

Die dd-list mal sortiert und bereinigt sehe ich "nur" noch ~ 750 Paketnamen.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von wanne » 02.07.2013 22:06:10

hikaru hat geschrieben:Da sich Mayhem auf Binary-Ebene bewegt können die auch gar nicht anders.
Doch. Könnten sie schon. Erstens sind die Pakete dynamisch gelinkt und 2. gibt's Pakete mit debug Symbolen. Die haben auch angekündigt nochmal alles sortiert nach lib in der's abkratzt zu sortieren.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Saxman
Beiträge: 4215
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von Saxman » 02.07.2013 22:14:31

Themen zusammengeführt

Ich finde es seltsam, dass hier kaum jemand die debian-devel mailingliste zu lesen scheint und solche Sachen hier erst gepostet werden wenn die Popcornpresse mal Wind davon bekommt. Die Diskussion auf der Mailingliste zu dem Thema begann am 25.06, also vor einer Woche!
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von catdog2 » 02.07.2013 22:21:53

Ich finde es seltsam, dass hier kaum jemand die debian-devel mailingliste zu lesen scheint und solche Sachen hier erst gepostet werden wenn die Popcornpresse mal Wind davon bekommt. Die Diskussion auf der Mailingliste zu dem Thema begann am 25.06, also vor einer Woche!
Das Ding stand schon Tage vorher bei fefe und das ist ja auch sowas wie Popcornpresse. :D
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
Saxman
Beiträge: 4215
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von Saxman » 02.07.2013 22:36:44

catdog2 hat geschrieben:
Ich finde es seltsam, dass hier kaum jemand die debian-devel mailingliste zu lesen scheint und solche Sachen hier erst gepostet werden wenn die Popcornpresse mal Wind davon bekommt. Die Diskussion auf der Mailingliste zu dem Thema begann am 25.06, also vor einer Woche!
Das Ding stand schon Tage vorher bei fefe und das ist ja auch sowas wie Popcornpresse. :D
Bei fefe stelle ich mir immer die Frage ob er hier jetzt wieder mal bewusst Desinformation betreibt. Da sind dann ab und zu Steine zwischen dem Popcorn und fefe lacht sich schlapp..
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von hikaru » 03.07.2013 00:30:59

wanne hat geschrieben:2. gibt's Pakete mit debug Symbolen.
Laut Rebert gibt's davon wohl weniger als man gern hätte. (Ich hab's nicht nachgeprüft.)
Saxman hat geschrieben:Ich finde es seltsam, dass hier kaum jemand die debian-devel mailingliste zu lesen scheint und solche Sachen hier erst gepostet werden wenn die Popcornpresse mal Wind davon bekommt. Die Diskussion auf der Mailingliste zu dem Thema begann am 25.06, also vor einer Woche!
Man könnte argumentieren, dass diejenigen die regelmäßig die Mailingliste lesen das Thema nicht interessant genug fanden es hier zu verbreiten.
Weiterhin ist es vermutlich nicht falsch anzunehmen, dass diejenigen die aus der "Popcornpresse" davon erfahren eher wenig mit Entwicklung zu tun haben und daher von den technischen Möglichkeiten an sich überrascht sind - einige so sehr, dass es ihnen die Sache wert ist hier einen Thread zu eröffnen.
Übrigens hat pro-linux erst nach Erstellen dieses Threads einen Mayhem-Artikel veröffentlicht (ich impliziere keine Kausalität) und heise hat bisher gar keinen Artikel dazu. Beide Portale dürften neben, wenn nicht sogar vor golem primäre Informationsquellen vieler Nutzer hier sein.
Kurz: Ich finde es seltsam, dass du es seltsam findest, dass anscheinend nur wenige Debiannutzer regelmäßig debian-devel lesen, denn das würde eine homogene, in der Mehrheit entwicklungsaffine Community voraussetzen, die es so nicht gibt.

Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von Dogge » 03.07.2013 07:01:49

hikaru hat geschrieben:
Saxman hat geschrieben:Ich finde es seltsam, dass hier kaum jemand die debian-devel mailingliste zu lesen scheint und solche Sachen hier erst gepostet werden wenn die Popcornpresse mal Wind davon bekommt. Die Diskussion auf der Mailingliste zu dem Thema begann am 25.06, also vor einer Woche!
Man könnte argumentieren, dass diejenigen die regelmäßig die Mailingliste lesen das Thema nicht interessant genug fanden es hier zu verbreiten.
Weiterhin ist es vermutlich nicht falsch anzunehmen, dass diejenigen die aus der "Popcornpresse" davon erfahren eher wenig mit Entwicklung zu tun haben und daher von den technischen Möglichkeiten an sich überrascht sind - einige so sehr, dass es ihnen die Sache wert ist hier einen Thread zu eröffnen.
Übrigens hat pro-linux erst nach Erstellen dieses Threads einen Mayhem-Artikel veröffentlicht (ich impliziere keine Kausalität) und heise hat bisher gar keinen Artikel dazu. Beide Portale dürften neben, wenn nicht sogar vor golem primäre Informationsquellen vieler Nutzer hier sein.
Kurz: Ich finde es seltsam, dass du es seltsam findest, dass anscheinend nur wenige Debiannutzer regelmäßig debian-devel lesen, denn das würde eine homogene, in der Mehrheit entwicklungsaffine Community voraussetzen, die es so nicht gibt.
Eben. Hier scheint es ja auch viele zu geben, die beruflich damit zu tun haben. Es gibt aber auch Leute, die einen Full-Time-Job haben und beruflich nicht mit Debian/Linux arbeiten. Mir wäre es auch etwas zuviel die debian-devel zu abonnieren. Dafür ist man ja in Foren aktiv und schaut zwischenrein mal in Newsportale. ;)
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

Benutzeravatar
Saxman
Beiträge: 4215
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von Saxman » 03.07.2013 07:23:00

Gerade bei solche Themen finde ich die debian-devel Mailingliste spannend. Da kriegt man eben direkt mit, von welcher Richtung gerade der Wind weht. Da hier viele technik- und debianaffine Menschen herumlaufen, hätte ich eine höhere debian-devel Quote erwartet. Aber vielleicht ist es ja wirklich so und das Thema war den Lesern nicht wichtig genug. Ich hab den Gedanken das hier zu posten immerhin auch schnell wieder verworfen. Die paar extra Bugs waren für mich auch nicht der Rede wert. Interessanter fand ich den Umgang der Entwickler mit der Thematik. Da ging es ja mehr darum in welcher Form diese Bugs am besten gemeldet werden sollen. Interessant fand ich auch, dass ja ursprünglich wheezy getestet wurde. Alles so Sachen die man in der Popcornpresse nicht liest.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von hikaru » 03.07.2013 07:44:18

Saxman hat geschrieben:Ich hab den Gedanken das hier zu posten immerhin auch schnell wieder verworfen.
Dann möchte ich dich ermutigen, solche Gedanken nicht so schnell wieder zu verwerfen.
Deine DPN-Threads lese ich z.B. fast immer, und oft sind sie auch Ausgangspunkt mich näher mit einem bestimmten Thema zu beschäftigen.

Benutzeravatar
sys_op
Beiträge: 672
Registriert: 17.09.2007 19:10:47
Lizenz eigener Beiträge: GNU General Public License

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von sys_op » 03.07.2013 09:09:04

Damit man sich nicht nur wundert oder der Meldung negativ gegenüber steht..
Ich finde solche Projekte und Meldungen prinzipiell gut.

Das Debian Projekt bekommt Rückmeldungen, es werden Fehler aufgedeckt und es wird darüber diskutiert.
Eine Programm, das seltsame Parameter nicht korrekt mit einer Fehlermeldung behandelt, sollte man reparieren. Linux mit seinen shared Libaries sollte saubere libs haben und wenn alles halb so schlimm ist, dann ist es ja gut. Mein Wheezy läuft sehr gut und wenn das eine oder andere Programm sein Verhalten positiv verändert, habe ich nichts dagegen. Ich verstehe nicht, warum man sich da so aufregt, es war immer die Linux-Devise über Fehler im Code zu reden.

Mich persönlich wundert die Meldung übrigens nicht. Bei dem Wachstum an Code und der Schnellebigkeit von Versionen, ist es fast ein Wunder, dass es nicht mehr Fehler sind.
gruss sys;-)

Benutzeravatar
Saxman
Beiträge: 4215
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von Saxman » 03.07.2013 12:29:18

hikaru hat geschrieben:
Saxman hat geschrieben:Ich hab den Gedanken das hier zu posten immerhin auch schnell wieder verworfen.
Dann möchte ich dich ermutigen, solche Gedanken nicht so schnell wieder zu verwerfen.
Deine DPN-Threads lese ich z.B. fast immer, und oft sind sie auch Ausgangspunkt mich näher mit einem bestimmten Thema zu beschäftigen.
Ich behalte das mal im Hinterkopf wenn ich das nächste mal wieder eine interessante Diskussion lese. Es scheint ja doch so zu sein, dass solche Themen hier den ein oder anderen interessieren.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

debnuxer
Beiträge: 236
Registriert: 10.03.2012 12:12:21

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von debnuxer » 09.07.2013 16:59:42

Spitzen Idee.

So etwas müsste es auch speziell für den Kernel geben, zusätzlich mit einer allgemeinen Liste von häufigen Fehlermustern.

Die Liste könnte man jedesmal wenn eine Sicherheitslücke gefunden wurde erweitern, damit einmal gemachte Fehler in Zukunft automatisch aufgespürt werden können.

Das sollte doch machbar sein, so wie man auch in Textdateien nach beschtimmten Mustern suchen könnte, wenn man wollte.

Man müsste sich nur einen guten Algoritymus ausdenken, der den Code durchsucht.
Zuletzt geändert von debnuxer am 09.07.2013 18:13:54, insgesamt 4-mal geändert.
Das Leben ist wie ein überdimensionales Schachbrett.

syssi
Beiträge: 2951
Registriert: 24.12.2010 16:50:59
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rheinland

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von syssi » 09.07.2013 17:43:20

Trotzdem ist die Sache auch recht gefaehrlich: Wenn ich Mayhem richtig verstanden habe, dann ist die Software in der Lage automatisiert ("shell-spawning") Exploits zu bauen. Sortiert man die 12K Pakete nach Diensten, welche mit Root-Rechten laufen oder andere Rechte-Eskalationen erlauben, dann sind es sicher einige... auch wenn sie sich das Problem ggf. durch fixen jeweiliger Libs loesen laesst.

Benutzeravatar
ChristianBa
Beiträge: 17
Registriert: 12.07.2013 14:24:12

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von ChristianBa » 14.07.2013 11:03:20

Dafür, dass Debian so voller "Fehler" steckt läuft es bei mir aber äußerst stabil.

Gruß
Christian
Eigenbau-PC: LM17.1 Cinnamon 64bit, LM13 Cinnamon 64bit, LM17.1 KDE 64bit, Win7 64bit, XP-Pro 32bit abgeschottet
Acer Aspire 7530: Debian-8-Gnome 64bit, LM17.1 Cinnamon 64bit
Asus Eee-PC: LM17.1 LXDE 64bit
Eigenbau-PC am TV: LM17.1 Cinnamon 64bit

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Automatisierte Bugsuche 1.200 Crashes in Debian

Beitrag von wanne » 14.07.2013 11:16:50

Wie gesagt die haben absichtlich Parameter und config-Dateien gewählt, die das Programm zum abstürzen bringen. Ich nehme an das die da so Parameter wie --äöüß oder in ner Konfigurationsdatei zig öffnende Klammern ineinander setzen damit die Programme abstürzen.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten