LINUX.ORG.RU

Воскресные вкусняшки: swift, rxvt-unicode, udisks, cockpit, pcp

 , , , ,


0

1

Доброго времени суток мои красноглазые читатели!

За прошедшее время в bentoo вот что произошло:

  • Bump dev-lang/swift{-bin}-3.0.2 -> dev-lang/swift{-bin}-3.1.1 (Нужно тестировать)
  • Bump bentoo/bentoo-kde-17.04.1 -> bentoo/bentoo-kde-17.04.3
  • Bump bentoo/bentoo-gnome-3.22 -> bentoo/bentoo-gnome-3.24
  • + app-exploits/cve-check-tool
  • Bump x11-terms/rxvt-unicode-9.22-r2 -> x11-terms/rxvt-unicode-9.22-r3 (Обновлены заплатки)
  • Bump sys-libs/libblockdev-2.4 -> sys-libs/libblockdev-2.10
  • Bump sys-libs/libbytesize-0.9 -> sys-libs/libbytesize-0.10
  • Bump dev-libs/volume_key-0.3.9 -> dev-libs/volume_key-0.3.9-r1 (Обновлены заплатки)
  • Bump sys-apps/pcp-3.11.8 -> sys-apps/pcp-3.12.0
  • + www-apps/pcp-webapp-blinkenlights-1.0.0 (Часть sys-apps/pcp)
  • + www-apps/pcp-webapp-grafana-1.9.1 (Часть sys-apps/pcp)
  • + www-apps/pcp-webapp-graphite-0.9.10 (Часть sys-apps/pcp)
  • + www-apps/pcp-webapp-vector-1.1.2 (Часть sys-apps/pcp)
  • Bump sys-apps/cockpit-132 -> sys-apps/cockpit-147
  • Bump sys-block/storaged-2.6.3 -> sys-fs/udisks-2.6.5
  • Bump all www-plugins/*
  • Bump sys-kernel/bentoo-sources-{4.4.78,4.9.39,4.12.3} -> sys-kernel/bentoo-sources-{4.4.79,4.9.40,4.12.4}

А зачем это всё это ненужно конкретно вам и что теперь с этим всем делать решать тебе мой красноглазый читатель.

★★★★★

Ответ на: комментарий от hateyoufeel

Чем оно лучше Gentoo?

Хочется ответить просто «Чем gentoo» но такой ответ вряд ли устроит засим займёмся графоманством.

В gentoo есть достаточно причин чтобы отказаться от неё и кроме того чтобы даже на пушечный выстрел не подпускать её к серьёзным вещам. На вечер 28.07.2017 я могу привести по крайней мере 714 {подтвержденных/неподтвержденных/находящихся в процессе решения} достаточно веских причин отказаться от gentoo. Но это только верхушка айсберга.

Если я в чём-то ошибусь на этом форуме есть кому меня поправить. glsa приходят уже по факту проделанной работы (о которой ниже) и они скорее просто напоминание для обитателей криокамеры.

А на деле происходит вот что. К примеру в sys-apps/busybox-1.25.1 был обнаружен CVE-2016-6301 от «Original release date: 12/09/2016» заключающийся в «The recv_and_process_client_pkt function in networking/ntpd.c in busybox allows remote attackers to cause a denial of service (CPU and bandwidth consumption) via a forged NTP packet, which triggers a communication loop.» и gentoo даже выпустила glsa 201701-05 «Release Date January 01, 2017» в которой заявила, что Unaffected versions >= 1.25.1 Мало того есть busybox upstream patch закрывающий данную уязвимость вот только вошел он во внимание:

VERSION = 1
PATCHLEVEL = 26
SUBLEVEL = 0
EXTRAVERSION = .git
NAME = Unnamed

Тем временем как в gentoo и поныне стабильный =sys-apps/busybox-1.25.1 ибо дальше нестабильное но Карл 1.25.1 это ведь в нашей вселенной вовсе не 1.26.0!!

Открываем ещё раз glsa 201701-05 всё верно Unaffected versions >= 1.25.1 дальше идём по ссылке Bug #590478 и дружно поздравляем всех причастных к этому цирку товарищей наркоманов.

А на дворе, в нашей вселенной, тем временем июль месяц 2017го года. Так к слову. И подобное не редкость.

Так вот сейчас мне (одному человеку Карл!!!) для выявления любой дыры после emerge =app-exploits/cve-check-tool-5.6.4::bentoo и cve-check-update достаточно просто сделать:

eix-update; NAMEVERSION="<name>,<version>,,,\n" eix -Ic --format '<installedversions:NAMEVERSION>' | grep ',,,$' | sort -n > text

а потом собственно:

cve-check-tool -u -c -a -t faux text | grep CVE

чтобы увидеть все возможные дыры раньше чем они дойдут до багзиллы gentoo.

Конкретно дыры на моей системе сейчас по данным cve-check-tool:

sqlite,3.19.3,CVE-2017-10989,,0
lightdm,1.22.0,CVE-2017-7358 CVE-2017-8900,,0
avahi,0.6.32,CVE-2017-6519,,0
jasper,2.0.12,CVE-2017-6850 CVE-2017-9782 CVE-2017-1000050,,0

И да предвидя следующий вопрос - да CVE-2016-6301 у sys-apps/busybox-1.25.1 оно не показывает но тому тоже есть своя причина. Сам догадаешься какая? Да люди не совершенны. Ну да ладно это всё уже лирика а конкретно это только ещё факт но никак не в пользу gentoo.

init_6 ★★★★★ ()
Ответ на: комментарий от init_6

А откуда я знаю о CVE-2016-6301? После того как в дереве появился sys-apps/busybox-1.25.1 я при помощи сделал patchfinder -f busybox после чего увидел урл-ы на актуальные src.rpm у fedora. Скачал нужную версию wget-ом, распаковал rpm2targz и увидел там бэкпорт заплатки CVE-2016-6301 для busybox-1.25.1 тааадаааам. Мало того как и подобает правильному пользователю я даже поставил gentoo в известность о существующей проблеме. Почему баг закрыли даже не рассматривая? Вот это уже не ко мне вопрос. Ну а вот после этого сейчас в этот тред придёт Pinkbyte и очередной раз расскажет о том, что всё от того что gentoo мало людей...

init_6 ★★★★★ ()
Ответ на: комментарий от init_6

Идем по твоей ссылке, читаем

RESOLVED DUPLICATE of 590478

Идем по ссылке дальше, читаем

RESOLVED FIXED

Окей, может пофиксили, но еще не выпустили GLSA, читаем последний коммент

This issue was resolved and addressed in GLSA 201701-05 at https://security.gentoo.org/glsa/201701-05 by GLSA coordinator Thomas Deutschmann (whissi).

Дата этого коммента - 1 июля. Дата твоей жалобы на то, что баг не закрывают - сегодня, 28 июля.

Более того, указанный в патче код грепается в исходниках 2.25.1 в генте.

Мне кажется или вот этот вот в этом конкретном случае именно ты заслуживаешь звания почетного слоупока? :-D

Если у тебя есть претензии к тому, что баг закрыли преждевременно или устабилить надо другую версию - добро пожаловать на багтрекер снова

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 4)
Ответ на: комментарий от Pinkbyte

Мне кажется или вот этот вот в этом конкретном случае именно ты заслуживаешь звания почетного слоупока? :-D

Ок. Утро вечера мудренее. Перепроверяем вместе с начала.

→ cd /usr/portage/sys-apps/busybox
→ ebuild busybox-1.25.1.ebuild unpack                                                                                                    
 * busybox-1.25.1.tar.bz2 SHA256 SHA512 WHIRLPOOL size ;-) ...                                                                       [ ok ] 
>>> Unpacking source...                                                                                                                     
>>> Unpacking busybox-1.25.1.tar.bz2 to /var/tmp/portage/sys-apps/busybox-1.25.1/work                                                       
>>> Source unpacked in /var/tmp/portage/sys-apps/busybox-1.25.1/work
→ cd /var/tmp/portage/sys-apps/busybox-1.25.1/work/busybox-1.25.1
→ wget https://git.yoctoproject.org/cgit.cgi/poky/plain/meta/recipes-core/busybox/busybox/CVE-2016-6301.patch
→ patch -p1 --dry-run < busybox-CVE-2016-6301.patch                                                                                      
checking file networking/ntpd.c                                                                                                            
Hunk #1 succeeded at 2058 (offset 73 lines).

Оно что дважды спокойно применяется и несмотря на это собирается без ошибок? Чудеса?

Либо это групповая наркомания... Но ладно пусть лучше я буду слоупоком перестраховщиком.

init_6 ★★★★★ ()
Последнее исправление: init_6 (всего исправлений: 1)
Ответ на: комментарий от init_6

Да именно так, оно дважды спокойно применяется.

Смотри на оригинальный файл, строка 2054:

/* Respond only to client and symmetric active packets */

Похожа на строку из патча, как и весь остальной код, правда.

Теперь накладываем патч, смотрим - это уже на двух строках: 2054 и 2061.

oas1 busybox-1.25.1 # patch -p1 < CVE-2016-6301.patch
patching file networking/ntpd.c
Hunk #1 succeeded at 2058 (offset 73 lines).

Окей, накладываем в третий раз.

oas1 busybox-1.25.1 # patch -p1 < CVE-2016-6301.patch
patching file networking/ntpd.c
Hunk #1 succeeded at 2065 (offset 80 lines).

И в четвертый

oas1 busybox-1.25.1 # patch -p1 < CVE-2016-6301.patch
patching file networking/ntpd.c
Hunk #1 succeeded at 2072 (offset 87 lines).
oas1 busybox-1.25.1 # grep -r 'Respond only to client and symmetric active packets' networking/ntpd.c
        /* Respond only to client and symmetric active packets */
        /* Respond only to client and symmetric active packets */
        /* Respond only to client and symmetric active packets */
        /* Respond only to client and symmetric active packets */

Мне продолжить? :-)
Не, бесспорно, если тебе хочется чтобы проверка дублировалась - можешь наложить патч сколько тебе угодно раз. Сомневаюсь что лишние ОДИНАКОВЫЕ проверки вызовут проблемы при сборке.

Ответ прост - строки, на которые ориентируется патч при добавлении содержатся в самом же патче. Конкретно он опирается на goto bail.

Скорее всего это баг в самом sys-devel/patch. Точнее в том, что совпал тот факт что дефолтные настройки(3 строки до, 3 строки после) добавляемого кода позволяют накладывать его сколько угодно раз. Но это выходим за рамки рассмотрения упомянутого тобой security-бага.

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 3)
Ответ на: комментарий от init_6

Я, пожалуй, соглашусь с некоторыми доводами. Хотя тут есть нюансы. Например, не так много разработчиков Gentoo вообще читают багзиллу. Её имело бы смысл удалить полностью и отслеживать баги на гитхабе, как это делают многие проекты.

hateyoufeel ★★★★★ ()