что случилось с GLSA, давно нет обновлений
zvn 1 июля, 2011 - 12:22
Здравствуйте!
Пишу в эту ветку в силу /usr/portage/metadata/glsa - т.е. часть portage
Посмотрел на форумах forums.gentoo.org, внятных объяснений нет, кроме того, что не приоритетное сейчас
Кто что знает?
и как без оного жить, кроме как постоянно обновлять ВСЁ?
»
- Для комментирования войдите или зарегистрируйтесь
Да можно без него в принципе.
Да можно без него в принципе. Просто отслеживать security фиксы на багтрекере. У меня это занимает минут 10 в неделю.
А так вроде с ним все нормально, туда просто закидывают remote vulnerability фиксы и их не очень много.
но раньше было еще проще:
но раньше было еще проще: glsa-check -t affected и за тем -f affected
Ну так никто это не ломал
Ну так никто это не ломал вроде. Если есть что обновлять, тем же методом и обновится.
Последний баг был найден
Последний баг был найден полгода назад. По ходу команда забила на глса.
но если забили, то должны
но если забили, то должны были где-то об этом сказать?
Просто полгода нет
Просто полгода нет мегакритичных дыр. А команда вполне себе функционирует, недавно вот бота прикрутили к баглизе, который чекает CVE и вешает багрепорты.
В 2003 за полгода 18
В 2003 за полгода 18 уязвимостей, ибо стартап, В 2004 - 274, 2005 - 329, 2006 - 245 .... 2010-40, 2011 - 9
А в феврале 2011 Гентоо смазали блендамедом. И вот результат: за полгода - ни одной новой дырки.
https://bugs.gentoo.org/show_
Вот тут есть инфа в коментах 9-10, почему например именно этот баг не попал glsa. Судя по всему, glsa список растет пропорционально активности пользователей при голосовании за внесение бага в список.
Решение, выпускать или нет
Решение, выпускать или нет GLSA, подчиняется определенным правилам, которые зависят от критичности ошибки. Статус отражен в Whiteboard в баге, и где-то расписана расшифровка. А системные/критические пакеты, B - популярные пакеты, C - специфичные пакеты. Цифра после буквы - критичность/срочность. A0 означает, что это ОЧЕНЬ серьезная бага, которая может привести к удаленному повышению привилегий. Соответственно, B4 - так себе бага, ради которой не стоит заморачиваться с выпуском GLSA. Статус присваивается членами Gentoo Security.
http://www.gentoo.org/security/en/vulnerability-policy.xml
Не грусти, товарищ! Всё хорошо, beautiful good!
A что страшного в обновлении
A что страшного в обновлении всего ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
но ведь речь не об этом. это
но ведь речь не об этом. это отдельная тема
к тому же я не говорил, что это страшно
я привык обновлять только то, что нужно по какой-то причине и зависимости обратные и прямые, меня это вполне устраивало
>>A что страшного в
>>A что страшного в обновлении всего ?
Обновление сетевого сервиса это не просто магическое заклинание emerge --update --deep --newuse world. Иначе команду в крон, амина - за забор.
wi, ты тоже ведешся ? :)
wi, ты тоже ведешся ? :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
На данный момент у команды
На данный момент у команды security не хватает сил делать glsa и сейчас баги фиксят в дереве но glsa не выпускают. Это уже обсуждалось в списке рассылки gentoo-core, но до сих пор добровольцев не нашли. Как только добровольцы найдуться, так сразу появяться новые glsa...
pva написал(а): На данный
какой способ поддерживать систему в безопасном состоянии Вы можете посоветовать?