LINUX.ORG.RU

Исправление уязвимостей в openSUSE Leap?

 , , , ,


0

1

Вопрос к знающим.

Я тут посмотрел на сайте ffmpeg какие уязвимости исправлялись с выходом новых версий.

А затем посмотрел, что в openSUSE Leap 15.2 версия 4.2.1 и никаких тебе бэкпортов патчей (в ветке 4.2 последняя доступная версия 4.2.4)

Понятное дело, что многие пользуют Tumbleweed и там приехали исправления с новой версией из апстрима. Кто-то пользует Packman и там тоже, вероятно, версию обновляют (не проверял).

Я как-то не так смотрю или по-факту имеем дырявую версию? Интересно, много таких пакетов в «стабильной» ветке?

УПД: посмотрел в Debian, там версия 4.1.6 - последняя доступная в ветке 4.1 Т.е какбы все прикрыто в теории.

★★★★★

Последнее исправление: gutaper (всего исправлений: 2)

У ffmpeg-а всё плохо с релизами, их нету, рекомендация от самих разрабов ffmpeg-а собирать его из сорцов и использовать крайнюю devel версию.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Даже если и так, то в данном случае даже «не релиз» в стабильной сусе протухший же.

Для кого-то же выпускают срезы:

4.3.1 was released on 2020-07-11. It is the latest stable FFmpeg release from the 4.3 release branch, which was cut from master on 2020-06-08

Больше интересует вторая часть вопроса. Сколько еще таких же подарков в репах суси? Вряд ли они, в случае ffmpeg, исходят из позиции «надо собирать последнее из мастера».

gutaper ★★★★★
() автор топика

Лол, да они даже уязвимости в ядре не осиливают закрывать вовремя, а ты хочешь исправления в урезанный ffmpeg, которым никто в здравом уме не пользуется.

Khnazile ★★★★★
()

в Debian, там версия 4.1.6

В 7-й Магейе тоже обновляли до 4.1.6 (при релизе была версия 4.1.3).

Сейчас в котле 8-й Магейи версия 4.3.1.

Я как-то не так смотрю или по-факту имеем дырявую версию?

Я официальных обновлений с 2019-го года не обнаружил.

Packman и там тоже, вероятно, версию обновляют (не проверял)

Там 3.4.4 (а последняя официальная версия этой ветки - 3.4.8) и 4.2.1. По дефолту устанавливается 3.4.4.

saahriktu ★★★★★
()
Ответ на: комментарий от fornlr

О том и речь. Тут в основной репе дуршлаг

gutaper ★★★★★
() автор топика
Ответ на: комментарий от Khnazile

В багзилле suse причем на тикете одной cve коммент, что sle не подвержено, только openSUSE.Т.е. даже в курсе, что дырка есть, но и чум бы с ней получается.

Это очень печально и неожиданно. Вот и тебе и тесная интеграция.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от saahriktu

Я официальных обновлений с 2019-го года не обнаружил.

О том и речь. Это походу версия с релиза и нехай так валяется.

Там 3.4.4 (а последняя официальная версия этой ветки - 3.4.8) и 4.2.1. По дефолту устанавливается 3.4.4.

И правда. Проверил тоже. Ну это тогда вообще зашквар получается.

@WitcherGeralt а у тебя Leap или Tumbleweed?

gutaper ★★★★★
() автор топика
Ответ на: комментарий от Khnazile

хочешь исправления в урезанный ffmpeg,

Как оказалось, не урезанный тоже такой же в васянорепе :(

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Ну в таком случае могу посоветовать только отправить баг-репорт и создать тему на реддите, если тебе почему-то не наплевать на это говно.

Khnazile ★★★★★
()
Ответ на: комментарий от Khnazile

Это как в Спортлото будет. Пакет ибо не какой-то занюханный, а, наверное, на каждом десктопе есть. И если год почти валяется дырявым, то это не «недосмотрели», а всем пох просто.

Такой подход печалит меня. Попробую в очередной раз слезть с нее. На мой взгляд это уже не «придирки» от скуки.

gutaper ★★★★★
() автор топика

ffmpeg почти у всех дистрах красный: https://repology.org/project/ffmpeg/versions

В Gentoo ffmpeg забанили: https://packages.gentoo.org/packages/media-video/ffmpeg

В каждом дистре, по идее, в теории, должна быть утилита которая выводит список возможных CVE для текущей установки. Может и в сюзи есть?

anonymous
()
Ответ на: комментарий от gutaper

Ну так я сейчас тоже на липе сижу. Просто по приколу, на этой машине вообще ничего ценного, наблюдения веду. Плохо всё. Gentoo времени жрёт много и там не торопятся пакеты обновлять, тот же PcManFM или как там его более продвинутый брат SpaceFM отставали помню дико даже от LTS убунты. По факту у нас один живой дистрибутив общего назначения (десктоп и сервер) — убунту и какой бы он паршивый не был, приходится терпеть. Всё, остальные либо на сервер не годятся, либо на десктоп. Тоска.

peregrine ★★★★★
()
Ответ на: комментарий от anonymous

ffmpeg почти у всех дистрах красный

Там и 4.1.6 и 4.2.4 красным выделяют. Зелёным только 4.3.1 подсвечивают. Такая уж политика цветовыделения у repology.org - зелёным только самую последнюю версию выделяют. Даже если есть разные ветки, которые тоже патчат.

saahriktu ★★★★★
()
Ответ на: комментарий от anonymous

То есть навести мышкой на красную букву «B» и почитать описание - слишком сложно?

Я, если честно, и не подозревал о каких-то проблемах.

media-video/ffmpeg

Latest version available: 4.3.1

Latest version installed: 4.3.1

utanho ★★★★★
()
Ответ на: комментарий от saahriktu

Фишка в том, что это все сторонние репы.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от peregrine

Нажми на ссылку под кнопкой. Специально для дистрибутивов есть релизы, которые поддерживаются достаточно долго.

anonymous
()
Ответ на: комментарий от utanho

Значит что сборка ffmpeg может использовать запатентированные алгоритмы и иметь юридические трудности при распространении ( USE флаг bindist ).

anonymous
()
Ответ на: комментарий от peregrine

FFmpeg has always been a very experimental and developer-driven project. It is a key component in many multimedia projects and has new features added constantly. Development branch snapshots work really well 99% of the time so people are not afraid to use them

Но где тут рекомендация использовать? Они пишут, что скорее всего у вас в пыхву не превратится, если из будете на острие лопаты. Это не про безопасность, а про фичи.

А я создал топик, что даже при известных cve зюзеры решили иметь их в стабилньой ветке.

Проще говоря, кмк, им всем нас орда на стабильную ветку. Выкатили и пусть каменеет. Упарываются только в tumbleweed

gutaper ★★★★★
() автор топика
Ответ на: комментарий от peregrine

FFmpeg has always been a very experimental and developer-driven project. It is a key component in many multimedia projects and has new features added constantly. Development branch snapshots work really well 99% of the time so people are not afraid to use them

Но где тут рекомендация использовать? Они пишут, что скорее всего у вас в пыхву не превратится, если из будете на острие лопаты. Это не про безопасность, а про фичи.

А я создал топик, что даже при известных cve зюзеры решили иметь их в стабилньой ветке.

Проще говоря, кмк, им всем нас орда на стабильную ветку. Выкатили и пусть каменеет. Упарываются только в tumbleweed

gutaper ★★★★★
() автор топика
Ответ на: комментарий от peregrine

FFmpeg has always been a very experimental and developer-driven project. It is a key component in many multimedia projects and has new features added constantly. Development branch snapshots work really well 99% of the time so people are not afraid to use them

Но где тут рекомендация использовать? Они пишут, что скорее всего у вас в пыхву не превратится, если из будете на острие лопаты. Это не про безопасность, а про фичи.

А я создал топик, что даже при известных cve зюзеры решили иметь их в стабилньой ветке.

Проще говоря, кмк, им всем нас орда на стабильную ветку. Выкатили и пусть каменеет. Упарываются только в tumbleweed

gutaper ★★★★★
() автор топика
Ответ на: комментарий от peregrine

FFmpeg has always been a very experimental and developer-driven project. It is a key component in many multimedia projects and has new features added constantly. Development branch snapshots work really well 99% of the time so people are not afraid to use them

Но где тут рекомендация использовать? Они пишут, что скорее всего у вас в пыхву не превратится, если из будете на острие лопаты. Это не про безопасность, а про фичи.

А я создал топик, что даже при известных cve зюзеры решили иметь их в стабилньой ветке.

Проще говоря, кмк, им всем нас орда на стабильную ветку. Выкатили и пусть каменеет. Упарываются только в tumbleweed

gutaper ★★★★★
() автор топика
Ответ на: комментарий от peregrine

FFmpeg has always been a very experimental and developer-driven project. It is a key component in many multimedia projects and has new features added constantly. Development branch snapshots work really well 99% of the time so people are not afraid to use them

Но где тут рекомендация использовать? Они пишут, что скорее всего у вас в пыхву не превратится, если из будете на острие лопаты. Это не про безопасность, а про фичи.

А я создал топик, что даже при известных cve зюзеры решили иметь их в стабилньой ветке.

Проще говоря, кмк, им всем нас орда на стабильную ветку. Выкатили и пусть каменеет. Упарываются только в tumbleweed

gutaper ★★★★★
() автор топика
Ответ на: комментарий от peregrine

FFmpeg has always been a very experimental and developer-driven project. It is a key component in many multimedia projects and has new features added constantly. Development branch snapshots work really well 99% of the time so people are not afraid to use them

Но где тут рекомендация использовать? Они пишут, что скорее всего у вас в пыхву не превратится, если из будете на острие лопаты. Это не про безопасность, а про фичи.

А я создал топик, что даже при известных cve зюзеры решили иметь их в стабилньой ветке.

Проще говоря, кмк, им всем нас орда на стабильную ветку. Выкатили и пусть каменеет. Упарываются только в tumbleweed

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

А точно ли openSUSE подвержен тогда учитывая что два дистра из одних исходников собираются? На одной машинке дома стоит Leap 15.2, могу протестировать. Рабочий эксплоит есть?

P.S. https://www.opennet.ru/opennews/art.shtml?num=54258

ArkaDOSik ★★
()
Ответ на: комментарий от anonymous

Как раз я читать умею, зачем мне это разъяснять?

utanho ★★★★★
()
Ответ на: комментарий от peregrine

Там драма была. Те, кто ушли в Libav и пилили форк ffmpeg были сильно обижены. Так что «все разрабы над одним проектом» это врядли.

utanho ★★★★★
()
Ответ на: комментарий от peregrine

Ты не прав, libav на правильном пути, стабилизация АПИ, акцент на безопасности. Ffmpeg больше за новыми ыичами гонется, а на безопасность, портабельность им на чхать.

anonymous
()
Ответ на: комментарий от anonymous

Это не правильный путь. Слишком буйно идёт развитие и слишком мало денег и разрабов, чтобы заняться превращением проекта в промышленное легаси. На проект уровня ffmpeg-а, если всё делать правильно с соблюдением всех правил проектирования и безопасности, надо около сотни разрабов на зарплате, чтобы частично правильно на уровне стартапа хотя бы 10 фуллтайм разрабов (и не джунов, а как минимум мидлов). Я не уверен что ffmpeg может себе это позволить.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от peregrine

Ты не прав. Лучше делать хорошо, а не быстро. Безопасность имеет значение.

Зачем мне их гвоздями прибита к адресам асемблерна оптимизация когда мое ядро OS хочет PIE для ALSR? Все равно приходится собирать с –enable-pic и я почти уверен, остальные делают также.

anonymous
()
Ответ на: комментарий от anonymous

Ты не прав. Лучше делать хорошо, а не быстро. Безопасность имеет значение.

Тогда x264 ffmpeg начал бы только сейчас поддерживать, возможно. Linux-ы и OpenSource были бы не просто там где они сейчас, а в чёрной дыре, откуда нельзя выбраться.

peregrine ★★★★★
()
Ответ на: комментарий от gutaper

Проще говоря, кмк, им всем нас орда на стабильную ветку.

На самом деле, нет. Если погуглить по конкретным CVE, то по ряду первых маинтейнеры дали такое заключение:

Overall state of this security issue: Does not affect SUSE products

А вот по поводу вторых уже такое:

Overall state of this security issue: Pending

This issue is currently rated as having moderate severity.

saahriktu ★★★★★
()
Ответ на: комментарий от gutaper

Да и вообще маинтейнеры каких дистрибутивов заморачиваются с патчами к ffmpeg'у? В других дистрибутивах тоже не всё так просто.

ffmpeg то ещё решето и на серверах ему совсем не место. А на десктопе (особенно, за роутером) его дыры не так критичны.

saahriktu ★★★★★
()
Ответ на: комментарий от peregrine

Ты опять не прав. Еще раз, лучше делать хорошо чем быстро.

В черной дыре GNU/Linux оказался сегодня именно из-за быстроделов с systemd и прочей дрянью.

Пример контроль доступа в dbus. В место UNIX way смотри что сделали:

Чтобы не придумывать формат правил контроля доступа возьмем для этого язык Java Script.

Контроль доступа на JS пишут разрабы сайтов.

Правила контроля доступа на JS компилим spidermonkey от мозилы.

Вот это скорость разработки, ничего не делали, ничего не разрабатывали, и получили правила контроля доступа от вебдизайнера.

Вот вам еще polkitd который эти правила применяет.

И вы теперь все этим овном на JS пользуетесь.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.