Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Studenten ontdekken 44 bugs in Unix-software

Studenten ontdekken 44 bugs in Unix-software

Door Willem Kerstholt, donderdag 16 december 2004 15:45
Bron: C|Net News.com, views: 25.811

Studenten van de Universiteit van Illinois hebben voor het vak 'UNIX Security Holes' 44 bugs ontdekt in een aantal programma's, waarvan verschillende ook standaard met Linux-distributies worden meegeleverd, zo schrijft News.com. De docent van het vak, Daniel Bernstein, is ook bekend van een aantal rechtszaken tegen de Amerikaanse staat waarin hij de regels over de export van encryptietechnieken aan de kaak stelde. Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd. De lijst met programma's waarin fouten zijn gevonden is hier te vinden.

Bugjacht
Volgende 16:32
Vorige 14:42
Gesponsorde link
Arjen (House) logo ICT nog slimmer inzetten?

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 72 reacties zichtbaar720 Off-topic / Irrelevant: 68 reacties zichtbaar68+1 On-topic: 46 reacties zichtbaar46+2 Informatief: 13 reacties zichtbaar13+3 Must-read: 1 reactie zichtbaar1
«  1  2  3  »

Door Arno, donderdag 16 december 2004 15:47

Score: 0
Lekker zo'n docent die het verplicht stelt om bugs in *n?x software te gaan zoeken. Het vinden van bugs is goed, maar ik vraag me serieus af of dit wel het gewenste resultaat oplevert.

Door DJ Henk, donderdag 16 december 2004 15:56

Score: 1
Waarom is dat niet lekker en waarom levert dat niet het gewenste resultaat op? Wat is dan het gewenste resultaat volgens jou?

Door Lekkere Kwal, donderdag 16 december 2004 16:03

Score: 1
Ik begrijp niet helemaal wat je bedoelt, als zo'n student zelf een programma gaat schrijven (en dan bedoel ik niet een progje om het aantal dagen in een jaar de berekenen) moet hij toch getraind zijn om fouten eruit te halen? Daarnaast lijkt het me ook niet onlogisch als die student wel eens programma's van anderen moet nakijken, des te beter dus als hij meer getraind is daar in.

Door mxcreep, donderdag 16 december 2004 18:02

Score: 1
Laat Dan Bernstein eerst maar es naar zijn eigen software kijken, het werkt allemaal wel, maar het is een grote boel van met plakband aan elkaar geplakte progsels...o.a. qmail en tinydns

Door zeroxcool, donderdag 16 december 2004 22:09

Score: 1
En wat versta jij onder 'aan elkaar geplakte' boel? Z'n eigen 'libc'? Z'n eigen daemontools? Z'n eigen inetd (ucspi)? Al deze drie dingen vind ik prima opgezet, duidelijk, overzichtelijk en ook nog eens makkelijk in het gebruik.

Ik vind het persoonlijk prachtige software met een duidelijk lijn: stabiliteit en veiligheid. Over het punt dat het mooi werkt ben ik het volledig met je eens, qmail draait inmiddels bij 'ons' al een dik jaar zonder ook enige outage door de software zelf. Nogal een prestatie te noemen.

Door Soultaker, donderdag 16 december 2004 23:12

Score: 1
Ik kan me ook voorstellen dat als D. J. Bernstein zegt dat je bugs moet vinden in UNIX software, dat je als allereerste al zijn software gaat nakijken (niets is zo leuk als een docent aftroeven in zijn eigen vakgebied).

Dat er geen bugs in programma's van Bernstein zelf zijn gevonden geeft toch wel aan dat dat niet de meeste lekke programma's zijn. Dat zou je toch al mogen verwachten van veelgebruikte software als qmail en djbdns. De laatste was nota bene ontworpen om de security problemen met BIND voor eens en altijd op te lossen.

Mocht dit je nog niet overtuigd hebben, dan nodig ik je uit om wat bugs aan te wijzen in de software. Voor de eerste bug in djbdns heeft Bernstein $500 uitgeloofd, dus als zijn software echt zo lek is als jij beweert, dan kun je een leuke kerstbonus tegemoed zien! ;)

Door mxcreep, vrijdag 17 december 2004 12:30

Score: 1
Wowww, ik heb niet beweerd dat het lek is, ik vind de opzet erg rommelig en nogal klote qua beheer...zoals ik al zei het werkt wel...
Heb zelf ook een qmail server draaien, alleen ik vind het niet handig om nog een inetd versie te hebben naast xinetd, dus geen ucspi voor mij, mijn versie draait fijn onder xinetd...
Probeer maar eens qmail te gebruiken voor virtual mail hosting, dan zul je merken dat het erg makkelijk is als je een mailserver hebt die gewoon mysql als backend kan gebruiken, om dat met qmail voor elkaar te krijgen moet je ook de ene na de andere slecht gedocumenteerde patch gebruiken.
Dus mijn conclusie is het is idd veilige en stabiele software, maar wil je er meer mee doen dan het standaard werk dan kom je snel uit in allerlei patches en dat bedoel ik met plakband oplossingen.

Door thijsdetweede, donderdag 16 december 2004 15:48

Score: 1
Ben benieuwd hoeveel van die bugs in de lijst van coverity te vinden zijn... Kan je meteen testen hoe goed die autosearch is.

Door twiFight, donderdag 16 december 2004 17:58

Score: 2
Het programma spoort fouten op in broncode die geschreven is in C of C++ en analyseert op die manier de kwaliteit en de veiligheid van het onderzochte systeem.
(...)
De Coverity-software, SWAT genaamd, analyseert C- en C++-broncode en onderzoekt deze op veel voorkomende fouten als null-pointers, niet geinitialiseerde variabelen en buffer overruns.
Hun software zoekt dus naar broncode fouten, niet (expliciet) naar security holes. Dat is nogal een groot verschil. De resultaten van deze software zullen dus niet te vergelijken zijn met de 44 gevonden bugs.

Door SiGNe, donderdag 16 december 2004 15:50

Score: 0
Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
Huh? 44 is toch duidelijk meer dan 10, ze zijn er dus wél in geslaagd om meer dan 10 fouten te vinden.

Door moneycarswomen, donderdag 16 december 2004 15:52

Score: 1
wat dacht je van 10 per persoon...

Door JoRuZ, donderdag 16 december 2004 15:53

Score: 1
Ik denk dat ze er 10 per persoon moesten vinden.

Door DJ Henk, donderdag 16 december 2004 15:55

Score: 1
Ik denk dat bedoeld wordt dat elke student zelf 10 fouten moest vinden en dat alle studenten bij elkaar maar 44 fouten hebben gevonden.

Wat dus minder dan de eis is als er meer dan 4 studenten in de klas zaten en elke fout maar door één student gevonden is.

Door UnbornSoul, donderdag 16 december 2004 15:55

Score: 0
Niet als het er tien per persoon zijn hé

Door wouter veltmaat, donderdag 16 december 2004 15:56

Score: 0
Voordeel van onduidelijk taalgebruik.
Er staat niet bij of het voor de groep of per student gelde.

Is ook onzin om te eisen dat je 10 fouten per persoon zou vinden. Vind je allemaal 10 dezelfde fouten. Blijven er nog 34 over.

Alsof hij wist dat er 44 in zaten.
Vind het ook een rotstreek om studenten met dit soort strafwerk op te zadelen. Denk wel dat ik hem recht in z'n gezicht had uitgelachen of 'shove it' had gezegd en dan maar het vak opnieuw had gedaan maar dan bij een prof die wel normale opdrachten geeft.

Door Mr_Atheist, donderdag 16 december 2004 16:01

Score: 2
Een duidelijk voorbeeld van een niet-academische mentaliteit. Er staat nergens dat het een dwingende opdracht is en dat het aantal gevonden bugs de doorslag geeft voor je cijfer. Zulke opdrachten moet je met een korrel zout nemen en uitwerken. Uitwerking is dan veel belangrijker dan het resultaat.

Hoe vind je bugs? Waarom zijn het bugs? Hoe kan de bug mogelijk gebruikt worden door kwaadwillenden? Zijn er algemene regels te bedenken die het ontstaan van deze bug hadden voorkomen?

Een opdracht op een universiteit is geen leidraad, maar een aanzetje tot bestudering van het onderwerp. Tenminste, zo heb ik het altijd ervaren...

Door wouter veltmaat, vrijdag 17 december 2004 00:07

Score: 1
Ow ja, nu weet ik weer dat ik ben gestopt op de uni en iets praktischer ben gaan doen. Vaag gedoe allemaal, is wel leuk maar niet voor mij.
Maar deze post is duidelijk ook niet academisch ingesteld. Daar doelde ik meer op.
En ik wil ook best wel een discussie aangaan tussen theorieen van bugs en de praktijk. Heb al inmiddels zat ervaring dat van de theorieen van de geleerden weinig terrecht komt omdat die te duur worden gevonden. (waar ik het absoluut niet mee eens ben btw, het is wel degelijk nuttig)
Maar komt er nog eens bij dat lappen code doorspitten gewoon niet leuk is. En er zullen vast wel wat bugs gevonden worden. Maar zoals iemand gister al zei bij de mensen die Unix en Linux hadden gebughunt. Het vinden van bugs tov multithreading is toch nog wel een graadje moeilijker dan de gemiddelde initialisatie en overflow fouten. Dat zou wel een leuke opdracht zijn.

Door n4m3l355, vrijdag 17 december 2004 02:04

Score: 1
het mag misschien stimulerend zijn maar 1 vd studenten die 4 bugs gevonden had heeft er 300 uur ongestoken ik weet niet over welk tijd bestek maar voor 1 opdracht zonder waardering is dat wel erg veel tijd. ik denk dat de gemiddelde nederlandse student daar toch niet snel aan komt ;)
verder zijn dit soort praktijken ook bedoelt om de klas te schiften van actieve/passieve leerlingen dus het is een normaal proces al is 't niet zo leuk natuurlijk

Door sn0x0r, donderdag 16 december 2004 15:59

Score: 0
Het kan ook ironie zijn, hij zei dat ze er 10 moesten vinden, maar dat hebben ze niet gedaan, want ze hebben er 34 teveel gevonden, en dat is dus geen 10, dus is het ze niet gelukt. Het is maar net hoe je het bekijkt, mijn idee is het denk ik niet, maar het zou natuurlijk wel kunnen. Toch zou 10 p.p. echt teveel zijn (vind ik dan).

Door DreksEimerTutje, donderdag 16 december 2004 16:05

Score: 0
Vast PGO onderwijs :) werkt iedereen samen. Voordeel hiervan is, dat je 1) source code door leert te begrijpen, 2) gaten kunnen gedicht worden. Goed initiatief vind ik.

Door ]eep, donderdag 16 december 2004 16:11

Score: 1
dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
typisch een verkeerde conclusie...
Er staat niet dat iedere student 10 unieke fouten moest hebben gevonden. Misschien komen veel fouten vaker voor (die noemen we dan systematische fouten) itt tot bijvoorbeeld typfouten.

Door Atmosphere, donderdag 16 december 2004 19:25

Score: 1
orginele tekst:
Each person in the class during the fall semester had to find 10 flaws, a task that counted toward 60 percent of their grade for the class, according to class notes posted on Bernstein's Web site. With only 44 flaws discovered among a reported 25 students, the students better hope for a generous curve.
10 fouten p.p. nodig en totaal dus 4.4 fouten p.p gemiddeld gemeld. Ik hoop voor de studenten dat de focus inderdaad verlegd wordt naar het methodiek en niet naar het abslute aantal gevonden fouten.

Ik vraag me af of er mensen nog geslaagd zijn :+ (wat overigens ook dramatische gevolgen zou hebben voor het gemiddelde voor de rest van de klas :Y))

Door dhrroel, donderdag 16 december 2004 15:50

Score: 0
Ik moet er niet aandenken dat ik uren moet gaat turen naar sources waar waarschijnlijk geen fout in zit maar dat ik ze toch moet gaan vinden.

Door moneycarswomen, donderdag 16 december 2004 15:51

Score: 3
Gaat dit over software van derde partijen? of software die bij Unix geleverd wordt? das nog wel een verschil namelijk.

(het gaat klaarblijkelijk om de volgende apps :)

[TXT] 2fax.txt
[TXT] abc2midi.txt
[TXT] abc2mtex.txt
[TXT] abcm2ps.txt
[TXT] abcpp.txt
[TXT] abctab2ps.txt
[TXT] asp2php.txt
[TXT] bsb2ppm.txt
[TXT] changepassword.txt
[TXT] chbg.txt
[TXT] convex3d.txt
[TXT] csv2xml.txt
[TXT] cups.txt
[TXT] cups2.txt
[TXT] dxfscope.txt
[TXT] elm-bolthole-filter.txt
[TXT] greed.txt
[TXT] html2hdml.txt
[TXT] iglooftp.txt
[TXT] iglooftp2.txt
[TXT] jcabc2ps.txt
[TXT] jpegtoavi.txt
[TXT] junkie.txt
[TXT] linpopup.txt
[TXT] meshviewer.txt
[TXT] mpg123.txt
[TXT] mplayer.txt
[TXT] napshare.txt
[TXT] nasm.txt
[TXT] o3read.txt
[TXT] pcal.txt
[TXT] pgn2web.txt
[TXT] qwik-smtpd.txt
[TXT] ringtonetools.txt
[TXT] rtf2latex2e.txt
[TXT] tnftp.txt
[TXT] uml-utilites.txt
[TXT] unrtf.txt
[TXT] vb2c.txt
[TXT] vilistextum.txt
[TXT] xine-lib.txt
[TXT] xlreader.txt
[TXT] yamt.txt
[TXT] yanf.txt

Als je goed kijkt is onder andere CUPS ook in het lijstje aanwezig, dat zou betekenen dat niet alleen unix maar ook veel linux distro's, osx en andere besturingssystemen die van CUPS gebruik maken dit security probleem hebben.

Door Jamal, donderdag 16 december 2004 16:06

Score: 2
Studenten van de Universiteit van Illinois hebben voor het vak 'UNIX Security Holes' 44 bugs ontdekt in een aantal programma's, waarvan verschillende ook standaard met Linux-distributies worden meegeleverd, zo schrijft News.com.
Het zijn dus programma's die worden meegeleverd met Unix en Linux. Meeste 3rd party volgens mij... aantal van sourceforge af te plukken.

Wel leuk dat je al die exploits kan 'naspelen'.

Door Bor de Wollef, donderdag 16 december 2004 16:30

Score: 2
Gaat dit over software van derde partijen? of software die bij Unix geleverd wordt? das nog wel een verschil namelijk.
Volgens mij gaat het gewoon om tools die voor unix beschikbaar zijn. Ik ken namelijk geen unix versie die ringtonetools mee worden geleverd.

Door Ramon, donderdag 16 december 2004 15:51

Score: 0
en WAAROM zijn ze dan niet geslaagd als ze 44 bugs vinden ipv de minimale 10 die als eis gesteld werden?

Door mschol, donderdag 16 december 2004 16:59

Score: 0
Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
ik weet dat lezen soms lastig kan zijn...

Door moneycarswomen, donderdag 16 december 2004 15:54

Score: 0
helaas kun je bij microsoft niet zo makkelijk in de code duiken vrind

Door DOP_ERWT, donderdag 16 december 2004 15:54

Score: 1
Huh? 44 is toch duidelijk meer dan 10, ze zijn er dus wél in geslaagd om meer dan 10 fouten te vinden.
Ik denk dat er bedoeld wordt dat elke student 10 fouten moest vinden.. Dus in totaal 250 fouten..

Beetje trieste zaak dat het zo dwangmatig gaat.. Als er niet meer fouten dan deze aanwezig zijn dan kan hij daar de studenten toch niet op afrekenen? Of kunnen we aannemen dat de leraar zelf wél 250 bugs in het UNIX-environment gevonden heeft... :+

P.S.: Waar heb ik hier gedubbelpost? :?

Door Rudi_Koppelman, donderdag 16 december 2004 15:59

Score: 2
Je kan ook onafhankelijk van elkaar dezelfde bugs vinden. Dus kan je alsnog aan de eis voldoen

Door Mijzelf, donderdag 16 december 2004 16:15

Score: 1
Een Aardrijkskundeleraar die zijn 40 leerlingen opdracht geeft om 5 werelddelen op te schrijven zal er toch zelf geen 200 noemen? :?

Door _Thanatos_, donderdag 16 december 2004 22:20

Score: 0
Ligt eraan wat de definitie van een werelddeel is, en van welke wereld :+

Door ronny, vrijdag 17 december 2004 09:33

Score: 0
Nee maar die leeraar zal dan ook niet gaan eisen dat elke leerling minstens een x aantal dingen kunnen gaan beneoemen als je niet weet dat er wel zo veel inzitten.
Het gaat er om dat als docent niet weet hoeveel bugs er in zitten hoe kan hij dan eisen dat de studenten minimaal een x aantal moeten vinden.

Dan is het dus een middel om de studenten tot ijver te dwingen, of dat hij er wel meer kent.

Door blaatkuiken, vrijdag 17 december 2004 09:41

Score: 1
leraren zijn over het algemeen minder slim dan hun leerlingen, das toch algemeen bekend....

Door Cyrus-The-Virus468, donderdag 16 december 2004 15:57

Score: 0
das leuk 10 fouten per student, dus die leraar wist er 250 te vinden? neem aan dat hij van te voren het ook heeft onderzocht zodat hij het kan controleren

edit: damn dubbelpost :(
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:32
Vorige 14:42
VNU Media logo Hosted by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: