LINUX.ORG.RU

Почему в Debian уязвимости не исправляют?

 , , ,


1

1

На офф.сайте написано https://www.debian.org/security/

Debian очень серьёзно относится к проблемам безопасности. Все проблемы безопасности, доведённые до нашего внимания, обрабатываются и исправляются в течении определённых разумных сроков. Множество предупреждений безопасности координируются другими поставщиками Свободного ПО и публикуются в тот же день, что и найденная уязвимость.

Смотрю какая версия tor в stable: https://packages.debian.org/ru/buster/tor Последнее обновление еще в прошлом году, и как так? chromium тоже доисторический, хотя пакет популярный.

-------------------------

Решение:

deb https://deb.torproject.org/torproject.org buster main

Ответ на: комментарий от AdonisSexyBoy

А если пруфа нет, то вот тебе к сведению: ты всегда можешь взять пакет из Sid’a. Более того, на сайте торовском отличная документация и репозитории специально под Дебиан. Браузеров это также касается.

anonymous ()
Ответ на: комментарий от AdonisSexyBoy

Они и следят, и последнее обновление было в этом году, однако, а не в прошлом. Если исправлений нет, то ничего важного не было, на их взгляд.

anonymous ()
Ответ на: комментарий от AdonisSexyBoy

Ну следить лично за каждым пакетов сомнительное удовольствие

Ты зашел потроллить? Тебе ли важен инструмент и ты за ним следишь как за зеницей Ока, либо ты пологаешься на коллег по цеху.

На заводе никогда не работал? Там это офигенно ощущается.

anonymous ()
Ответ на: комментарий от fornlr

Поэтому нужно разделять дистрибутив. Серверная версия - максимально стабильная с минимум пакетов, без гуя и прочего шлака, но с мета-пакетами для LTS и текущих версий, например: nginx-stable, nginx-mainline. Десктоп - а-ля Archlinux, без бюрократических заморочек Debian, которые отсутствуют в более успешных дистрибутивах.

anonymous ()
Ответ на: комментарий от fornlr

Так нет ресурсов (рук) из-за этих заморочек. Ты попробуй добавить пакет в Debian и тот же Archlinux, Fedora, Gentoo.

В Debian на каждый чих нужно согласование и согласование на это согласование.

anonymous ()
Ответ на: комментарий от anonymous

Да, а ты ещё одну хочешь. Причём для всяких тестовых воообще в открытую пишут, что секурные обновления это самое отсутствуют, можно сказать.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от fornlr

Я хочу, чтобы они закопали все версии и все нераспространенные архитектуры.

Создали северную редакцию с минимум пакетов (на 500 пакетов у них же сил хватит?!).

Создали десктопную версию с минимум вливания «от себя любимых». Голый upstream а-ля Archlinux. Только под 64 битные и армы. Сук, даже guix с их 3.5 колеками сумели это реализовать.

anonymous ()
Ответ на: комментарий от anonymous

На Manjaro та же проблема, но там уязвимостей правда нету. Но на всех этих арчах проблема с нестабильностью. Вообще идеально сочетание как по мне это стабильная базовая система (включая основные библиотеки, иксы, qt, gtk) и неубиваемый explorer.exe, а приложения уже ставятся новых версий, а лучше любых версий, в виде AppImage.

AdonisSexyBoy ()
Ответ на: комментарий от AdonisSexyBoy

В мире OpenSource нет стабильности. Разве только гробовая стабильность, она наступает со смертью проекта, а так - проект живёт здесь и сейчас, а не вчера и позавчера. Единственное некоторые компании могут сделать некоторым фичам «назад в прошлое», но это исключение. Смотри ядро RHEL. В него очень часто переносят что-то от новых ядер. Debian же себе такого позволить не может. Они даже бинарное firmware в количестве 4 штук добавить в пакет не могут, а про код так вообще молчу. Зато стабильный, чё)

anonymous ()
Ответ на: комментарий от anonymous

Создали десктопную версию с минимум вливания «от себя любимых». Голый upstream а-ля Archlinux. Только под 64 битные и армы. Сук, даже guix с их 3.5 колеками сумели это реализовать.

Так создай, дистростроители что должны хотелки рандомных челов делать?

Сук, даже guix с их 3.5 колеками сумели это реализовать.

Ну так если есть то пользуйся. Чё ты ноешь то? Нет блин на марсе ёлки не растут я ебал, блять на земле растут даже в самой жопе, а на марсе не растут!

anonymous ()
Ответ на: комментарий от peregrine

Уверен что debian патч не наложил на дырку?

Ну только если тайно, не сохраняя это в истории.

Это вам батенька на винду, линуксу вы только вредите

А чем плоха моя задумка? Преимущества вроде бы понятны, появились же flatpak, snap, uwp.

AdonisSexyBoy ()
Ответ на: комментарий от anonymous

Ты попробуй добавить пакет в Debian и тот же … Gentoo.

Пробовал. Добавлял.

Единственная заморочка - требования QA на основании документации по оформлению ebuild, чтобы он не абы как был написан. В противном случае у половины пользователей он не соберётся даже.

Далее всё упирается во время сопровождающего и проверяющего твой пакет человека - ему его ещё просмотреть нужно и самому собрать хотя бы.

Сейчас эта проблема частично решена возрождением sunrise overlay в виде guru overlay (рекомендую) с чуть более мягкими правилами. Если пакет популярный, то можно перевести его в основной репозиторий, если его присутствие там интересно кому-нибудь из разработчиков.

Остаётся вариант самому стать разработчиком и добавлять то, что хочется в разумных пределах.

… а, ты о сложности добавления в Debian только :) Да, в Gentoo разработчики в этом плане достаточно дружелюбны.

grem ★★★★★ ()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от AdonisSexyBoy

Вреда от этих введений намного больше пользы. Вместо централизованного управления у нас теперь зоопарк из стороннего говна и костылей, за которые автор (сборщик пакета) мамой клянётся, что это не троянец. В репах хоть понятно что за люди и где собирают софт, а в каких-то левых билдах для флатпака вообще могут совсем левые люди что-то собирать.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 3)
Ответ на: комментарий от peregrine

Странный упрек, Slackware же отличный дистрибутив, явно не виндовс стайл в твоем понимании, у меня в нем схема похожая, но не такая удобная как хотелось бы.

Базовая система это стабильная 14.2, а приложения ставятся новых версий из слакбилдов, или пересобираются. Для GIMP пришлось пару базовых библиотек пересобрать, но обычно обхожусь без этого.

Tor кстати был обновлен вовремя: http://slackbuilds.org/repository/14.2/network/tor/

AdonisSexyBoy ()
Ответ на: комментарий от anonymous

Debian рассматривают только как образ для контейнера.

Эмм, нет. Что за бред? У меня он как рабочая, домашняя и игровая станция вот уже 8 лет (как на линукс перешёл так и). Множество ответвлений в виде дистрибутивов для более узких задач. Он универсален, по настоящему универсален. Те кто линуксы только в контейнерах юзают обычно не его пользователи, а всякие полуадмины в виде девопсов и прочие. Или те кто крутиться с серверами и нормальной жизни не видели у них весь мир в образах да контейнерах. Ну это их травмы, остальные то причём?

anonymous ()
Ответ на: комментарий от AdonisSexyBoy

flatpak, snapd, uwp же изолированны, троянцев можно не боятся

Во-первых, не изолированны, это всё враки, вся их изоляция обходится в 10 строк кода максимум (да, самым дебильным методом в лоб, гуглится за 5 минут), с песочницами в линуксе всё принципиально плохо, потому что безопасность на правах и распределении доступа между юзерами заложена, а дальше пляски вокруг этой архитектуры. Более того ты даже отдельное приложение от сети отрезать надёжно не можешь. Т.е. если автор софтины запарился, то она гарантированно будет иметь возможность ходить в инет, только если ты совсем его iptables-ом не вырубил.

Во-вторых, твой linux kernel никакому троянцу не нужен, чтобы его украсть или зашифровать, он и так на гите и в репе каждого дистра валяется, особенно на десктопе. Нужен твой юзерспейс, в котором ты и работаешь с софтом из флатпаков.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 4)
Ответ на: комментарий от AdonisSexyBoy

Ты воообще, ну вот совсем не понимаешь о чём говоришь. Есть онлайн трекеры пакетов, в дистрибутиве есть apt source пакет качай смотри патчи какие есть и ещё куча всего для мониторинга и проверки в случае надобности. Бери да смотри, а не выдумывай.

А чем плоха моя задумка? Преимущества вроде бы понятны, появились же flatpak, snap, uwp.

Тем что ты имея микроскопический уровень знаний по теме что-то предлагаешь даже не вникая в суть проблем которые эти вещи решают и даже видимо не подозреваешь какие проблемы оно приносит. Хорошо, но в конце то концов бери да сделай. В чём проблема? Это же по твоим словам во первых легко, во вторых правильно. Вот и сделай. Почему ты твои хотелки хочешь что-бы кто-то за тебя делал? Сам собирай сообщество и начинайте делать.

anonymous ()

В баяне такая себе идея смотреть на циферки. Они бекпортируют сесурити патчи, при этом версия пакета остается прежней, но добавляется деб-версия в виде суффикса, поэтому правильнее смотреть в ченжлог. Обычно все важное они латают в первые же дни и часы.

slowpony ★★★ ()