Дискуссия о потенциальных проблемах безопасности в Debian

3

3

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

Ссылка

←	Composer 1.0

Обновление Ubuntu Touch OTA-10

→

← 1 2 3 4 5 6 7 →

Ответ на: комментарий от buratino 07.04.16 18:56:42 MSK

Звезду тебе погасили за излишне длинный язык. Поделом тебе, дядя.

anonymous
(09.04.16 08:25:57 MSK)

Ответ на: комментарий от anonymous 09.04.16 08:25:57 MSK

Звезду тебе погасили за излишне длинный язык. Поделом тебе, дядя.

Анон шол бы ты нахуй а? Тебя забыли спросить.

anonymous
(09.04.16 08:45:08 MSK)

Ответ на: комментарий от anonymous 09.04.16 08:45:08 MSK

Деревяшка, забыл залогиниться:-)

anonymous
(09.04.16 10:54:59 MSK)

Ссылка

Закапывайте

Дебиан сдох и воняет. Сижу на нём до сих пор исключительно потому, что не знаю, куда бы свалить с этой помойки.

alegz ★★★★
(09.04.16 21:28:01 MSK)

Ответ на: Закапывайте от alegz 09.04.16 21:28:01 MSK

Если у вас десктоп, то рекомендую Manjaro. Прекрасная платформа, куча отполированных сборок на любой вкус.

Deleted
(09.04.16 21:31:59 MSK)

Ссылка

Ответ на: комментарий от dada 07.04.16 08:29:38 MSK

тестинг разве не для таких вот случаев

Некоторые сидят на Stable ради своевременных обновлений безопасности,ну и конечно стабильности.

По теме: Ковыряют мертвый труп(XScreenSaver) и удивляются почему смердит.

Deleted
(09.04.16 21:38:31 MSK)

Это одна из причин, почему федора более надёжна в плане секурности. Мейнтейнерам дебиана просто всё равно на проблемы.

anonymous
(09.04.16 21:43:21 MSK)

Ответ на: комментарий от Deleted 09.04.16 21:38:31 MSK

Ковыряют мертвый труп(XScreenSaver) и удивляются почему смердит.

Релиз 24-Oct-2015. Ковыряют дебиан.

Deleted
(09.04.16 21:51:45 MSK)

Ответ на: комментарий от Deleted 09.04.16 21:51:45 MSK

Ковыряют дебиан.

Ну-ну.

Deleted
(09.04.16 22:08:25 MSK)

Ответ на: комментарий от Deleted 09.04.16 22:08:25 MSK

об этом и новость. вышло тухлое обновление с софтом 2014 года.

Deleted
(09.04.16 22:22:13 MSK)

Ссылка

Ответ на: комментарий от crutch_master 09.04.16 07:00:02 MSK

Не, они просто придерживаются правила «Работает - не трогай».

Херовое правило. Очень. Из-за таких «работанетрогателей» местами приходиться сильно извращаться, выполняя по 10 приседаний вместо одного.

На десктопе желательно иметь софт по-свежее, а на сервере - чтобы работал без сюрпризов.

Да? Возьми сервер на jessie и выполни в консолько вот это:

ip tunl add gre mode gre remote 1.2.3.4 && ip link set gre up
ip tunl add gre1 mode gre remote 1.2.3.5 && ip link set gre1 up
ip tunl add gre2 mode gre remote 1.2.3.6 && ip link set gre2 up

а теперь сравни вывод ip link show up| grep gre и ifconfig | grep gre

и ответь себе на вопрос - а нужно ли на сервере держать такой «стабильный» софт. И что будет, если кто-то еще использует ifconfig в криптах?

Дебиан с его политикой «заморозили на момент релиза и считаем стабильным до следующего» - стабильно превращается в овощебазу времен СССР - «всё есть, но протухло год назад». Даже backports не спасает (ровно из-за того, что инфраструктура у них теперь общая, и магические пассы в сторону менторов надо выполнять «по взрослому»). Космонавт с его идей ppa куда ближе к жизни.

LynxChaus ★
(09.04.16 22:54:29 MSK)

Ссылка

Ответ на: комментарий от Deleted 09.04.16 21:38:31 MSK

Ковыряют мертвый труп(XScreenSaver) и удивляются почему смердит.

Да работает этот несчастный скринсейвер. Проблема в том, что некоторые пользователи не понимают вообще, что происходит, кликают About и пишут напрямую автору на мыло.

А теперь подумаем, что это за пользователи? Это точно не технари. Это точно не корпоративные работники, у которых есть свои админы. Это школота и хомячье, которые тут несут феерическую чушь.

anonymous
(10.04.16 01:28:04 MSK)

Ссылка

Потенциальные проблемы с работоспособностью и безопасностью есть в каждом дистрибе. Тоже проскакивали новости, когда дебиан пофиксил, а мейнтейнеры чухались еще месяц в генте. Так что ролл ничем не лучше политики дебиана в вопросах безопасности.

bryak ★★★★
(10.04.16 03:57:46 MSK)

Ответ на: комментарий от bryak 10.04.16 03:57:46 MSK

в нормальных дистрах, делают так:

Wed Jan 13 00:01:23 UTC 2016
...
patches/packages/xscreensaver-5.34-i486-1_slack14.1.txz:  Upgraded.
  I promised jwz that I'd keep this updated in -stable when I removed (against
  his wishes) the nag screen that complains if a year has passed since that
  version was released.  So, here's the latest one.

Это называется — ответственность.

Deleted
(10.04.16 09:54:06 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.04.16 21:43:21 MSK

Это одна из причин, почему федора более надёжна в плане секурности. Мейнтейнерам дебиана просто всё равно на проблемы.

НАСА с тобой несогласен.

anonymous
(10.04.16 18:17:51 MSK)

Ответ на: комментарий от Deleted 09.04.16 21:38:31 MSK

Ковыряют мертвый труп(XScreenSaver) и удивляются почему смердит.

XScreenSaver

X

2016

Всё верно, ждём WaylandScreenSaver и готовимся ныть, что он протух.

lagavulin16 ★
(11.04.16 13:22:39 MSK)

Ответ на: комментарий от lagavulin16 11.04.16 13:22:39 MSK

Скринсейверы не нужны. Лучше настроить блокировку сессии с потухом монитора.

Deleted
(11.04.16 15:42:55 MSK)

Ссылка

Ответ на: комментарий от spec_po_kiskam 07.04.16 12:39:46 MSK

дебиановцы как бы и поддерживают. Они еще тянули лису 3.x после того как сам файрфокс дропнул её поддержку.

snaf ★★★★★
(11.04.16 17:00:55 MSK)

Ссылка

мыши плакали и кололись

У меня светлая мысль: а что мешает сделать так, чтобы юзер вводил версию программы и получал предупреждение о том, что в новой версии может быть исправлено вместе со списком схожих закрытых багов?

Preyr
(11.04.16 22:01:33 MSK)

Ссылка

Ответ на: комментарий от anonymous 10.04.16 18:17:51 MSK

У НАСЫ оффлайн. И емнип таки убунта (если говорить про рабочии станции).

anonymous
(11.04.16 22:54:34 MSK)

Ссылка

Ответ на: комментарий от intelfx 07.04.16 14:15:18 MSK

Жизнь — боль, ты об этом хотел услышать?

Как писал Пратчетт, люди не хотят жить хорошо или лучше. Они хотят стабильности, пусть даже это жизнь в говне — зато завтра тебя предсказуемые ощущения и запахи, и думать особо не надо. Ты вот купишь книжку об администрировании арча, а она устарела два года тому назад. Людям такое не нравится. Это одна из действующих сил.

Вторая сила — это дисциплина разработчика. Нужно иметь дохрена выдержки, чтобы писать исправления ошибок так, чтобы они в чистом виде накладывались на более старые версии. Кому нравится два часа захерачивать принципиально новую фичу, которая, кроме того, чтобы устранить проблему на корню, тащит за собой более новые и несовместимые зависимости, после чего два дня трахаться с git add -p, разбивая изменения на удобоваримые куски? Это дисциплина. Сначала крафтишь не спеша исправление, которое не требует переворачивания всей кодовой базы с ног на голову, и которое можно в обновления безопасности засунуть, а потом фигачишь новую версию, в которой данный баг «отсутствует как класс».

Вот эти силы как-то надо уравновешивать, учитывая, что в точках экстремума там абсурд полнейший (в идеале любителей стабильности обновляться не нужно вообще никогда, в идеале любителей переписывать все с нуля нужно на новые тулкиты и фреймворки переходить каждый релиз).

shimon ★★★★★
(17.04.16 16:30:00 MSK)

Ссылка

Вообще, багфиксы надо тянуть всегда, независимо от того, написано там, что это обновление безопасности, или нет. Каждая ошибка принципиально может являться дырой, просто ты еще не знаешь, как именно.

shimon ★★★★★
(17.04.16 16:34:24 MSK)

Ссылка

Лучше бы показывали какая раскладка сейчас на скринлоке

anonymous
(23.04.16 09:35:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 4 5 6 7 →

←	Composer 1.0

Debian

Обновление Ubuntu Touch OTA-10

→

Закапывайте

мыши плакали и кололись

Похожие темы