Re: ifupdown / systemd
Max Dmitrichenko <dmitrmax@gmail.com> wrote:
> 12 января 2016 г., 17:56 пользователь Andrey Melnikoff
> <temnota+news@kmv.ru> написал:
> > Max Dmitrichenko <dmitrmax@gmail.com> wrote:
> > И патчи для CVEшек как-бы беруться от производителя, а не пишутся маинтайнерами (но не для случая - мы тут
> > забакпортили фичу с багой, теперь надо багфикс на багу бакпортить).
> Щито?!! Производителю делать больше нечего, как изучать версии
> пакетов, которые используются в тысячах дистрибутивов, дабы сделать
> фикс для каждой? Для какой-нить пижни типа OpenSSL или ядра с версией
Еще раз, читаем медленно - патчи беруться от производителя софтины, ибо CVE
- на софтину, репортиться производителю и ожидает его реакции в виде патчей,
новых версий, "а вы так не делайте".
> LTS, может быть, это и так. Но в общем случае всем начхать на то,
> какой древней версией пакета foobar запаслись в редхате или в дебиане.
> Даже не посмотрят на то, фиксить или нет. И это всё ложиться на плечи
> мейнтейнера.
Вот задача и сводиться к тому что взять уже готовый патч из точки а и
приложить в точку б. Если конечно софтина в репозитории той-же версии, что
указана в CVE. Иначе - бакпортим багфикс на бакпорт бага.
Вот берем скажем CVE-2015-5621 на net-snmp. Лезем в ченжлог от него и что мы
наблюдаем? А вот что:
* debian/patches
- add CVE-2014-3565.patch taken from upstream to fix CVE-2014-3565
(Closes: #760132)
Его не маинтанер сам нарисовал, его апстрим (производитель) выпустил вместе
с опубликованием CVE. И так 99%.
А вот возьмем другой CVE-2015-8668 на libtiff5 - во, тут думать надо,
апстрим не разродился патчем - поэтому и починим как разродиться.
Reply to: