Исправление уязвимостей в openSUSE Leap?

возьмем для этого язык Java Script

https://preview.redd.it/lrlkna1tmj561.jpg?width=640&crop=smart&auto=w...

С разных сторон баррикад смотрим.

«Точка зрения зависит от точки сидения.»

Поздно увидел каст :( уже не могу

Я видел «not affected SUSE», а далее о том, что в openSUSE вполне афыектед

Да и вообще маинтейнеры каких дистрибутивов заморачиваются с патчами к ffmpeg’у?

В арче версия свежая, в в федоре (rpmfusion) тоже, в дебиане тоже последняя из ветки взятой в релиз.

И только в сусе взяли версию и все. Минорных бампов нет. Несмотря на то, что они закрывают cve

RpmFusion - это неофициальный репозиторий. В официальных репозиториях Федоры и CentOS'а ffmpeg'а нет вообще.

А что касается последних версий, то в них тоже есть уязвимости, которые пока что не исправлены в апстриме до следующих версий. И маинтейнеры дистрибутивов по-хорошему не просто обновляют до последних версий соответствующих веток, а мониторят конкретные уязвимости и добавляют соответствующие патчи. А вот тут и начинаются неоднозначности. Уязвимостей много, патчей тоже. И маинтеры, вот, и рассматривают каждую уязвимость в отдельности и что с ней делать. И вот тут никто никуда не торопится. Ибо работы много, а маинтейнеров даже в крупных дистрибутивах мало и у них есть и другие задачи. Поэтому маинтейнеры выстраивают иерархию своих задач, в первую очередь решают наиболее критичные задачи. А патчи для ffmpeg'а могут и подождать.

RpmFusion - это неофициальный репозиторий. В официальных репозиториях Федоры и CentOS’а ffmpeg’а нет вообще.

Но в нем версия актуальная. А в пакмане - тоже самое, что и в основных репах.

И в сусе ни одного патча не было. Почему даже дебиан с их штабилкой удосужились апдейтить версию внутри релиза?

Для меня показатель того, что а) всем похрен на ветку leap б) все разбежались с дистра

С таким подходом у меня нет уверенности, что это только с ffmpeg так. В итоге просто решил, что кактус стал слишком колюч.

Обновления таки регулярно выходят. А ffmpeg довольно специфичный пакет. Я выше уже писал, что на серверах этому решету не место, а на десктопах его дыры не так актуальны.

И в сусе ни одного патча не было.

Патчи были во время версии 15.1.

Потому что у всех разные приоритеты

Вот регистрируйся: https://register.gotowebinar.com/register/2611714361124716300

This panel will unpack this topic in a few dimensions, including reveal new research commissioned by SUSE and conducted by Insight Avenue.

А так я никогда не понимал для кого вообще делается SUSE… Там Ubuntu, Debian, Fedora, Gentoo, Manjaro, Arch — всё понятно. А тут…

а на десктопах его дыры не так актуальны.

Действительно, что это я слюни распустил. Ты убежден,что в остальных-то пакетах все пучком? Конечно, не пойман - не вор. И мне бы пруфца принести, но даже для себя не хочу дальше искать. Чтобы не расстраиваться.

У меня ещё зюзероутер тарахтит на leap. И у них есть сборка для малины 4, с инфраструктурой сборки в пару кликов своего исошника.

Полимеры ещё не всё просраны, но направление расстраивает.

Патчи были во время версии 15.1.

Были, да сплыли. Хотя и в 15.2 основной это ffmpeg3. Вот уж точно за версиями не гонятся

А для кого делаются перечисленные тобой?

У тех, кто не желает разбираться что к чему, получаются вбросы и троллинги. Даже если они не хотят их создавать.

А ffmpeg как раз удачный пример для типичного троллинга. На его примере как раз можно делать вбросы уровня «посмотрите какое решето ваш дистрибутив - в нём аж ffmpeg без патчей» или «посмотрите какие дырявые ваши линуксы (а только в единичных дистрибутивах свежий ffmpeg)».

для кого вообще делается SUSE

Для ынтерпрайза. И тех, кому на десктопе нужен ынтерпрайзный дистрибутив. Чтобы в т.ч. опыт решения вопросов на десктопе потом мог пригодиться где-нибудь на тех же серверах, которые работают на Зюзе. Впрочем, это уже бонусы. А так та же openSUSE Leap просто стабильная альтернатива Debian'у. Как и Mageia.

Но ты же разобрался что к чему? И сейчас расскажешь, почему же с релиза не бампнули версию в пределах мажорного релиза? Почему debian патчи накатил, а суся - нет?

То, что выше приводили «в suse решили, что эти cve не cve» - так вот они решили это для платного дистра. И там просто было not affected. А вот на щзутЫГЫУ просто положили, ящитаю

А так та же openSUSE Leap просто стабильная альтернатива Debian’у

Настолько стабильная, что мантейнер, решив, что пользователям должен обязательно приехать pipewire начал мудрить с зависимостями. В результате просто добавил проблем на ровном месте.

Какая-то выборочная стабильность получается. Там где нам западло - мы rocksolid и будем окаменевать. А там где надо пропихнуть что-то, то вроде уже как и не такие мы и стабильные.

И в Debian'е не все патчи накатили: https://security-tracker.debian.org/tracker/source-package/ffmpeg .

И я уже всё разложил по полочкам выше. Если маинтейнеры решают, что конкретная CVE «not affected», то патч от неё никто не накладывает. И с первой порцией CVE так и было. Со второй решили, что «affected», но руки наложить соответствующие патчи, видимо, пока ещё не дошли, ибо это не настолько критичные уязвимости.

pipewire уже во многих дистрибутивах становится обязательной зависимостью. Добро пожаловать в новый мир. Вы бы ещё удивлялись чего это systemd в систему притягивается.

Добро пожаловать в новый мир

Я пока еще не знаю, где его включили. А вот в openSUSE он у меня мифически не просто притянулся по зависимостям от libpipewire (!), так еще и заработал не спрашивая. В стабильной ветке, да.

Федора, инноваторы всего и вся, ЕМНИП даже не используют еще.

Но ты сейчас скажешь, что «в openSUSE мантейнеры решили, что он уже готов для прода и поэтому протолкнули его пользователям»?

Вы бы ещё удивлялись чего это systemd в систему притягивается

В пределах одного мажорного релиза никто systemd не впихивал. А pipewire впихнули, пошаманив с зависимостями. Может быть это самоуправство на местах одной козлины, конечно. Но когда ему написали, что такой подход не совсем корректен и порождает больше проблем, то… нихрена ничего не поменялось. Просто положили хрен

И в Debian’е не все патчи накатили

Не вникал по ссылке. Однако я вижу, что ffmpeg получал обновления в debian. Покажи хоть один патч на ffmpeg в openSUSE Leap 15.2?

Сообщество зюзеводов подсказывает, что так и должно быть, Вы просто не знаете как маинтейнеры готовят дистрибутив. Цитирую:

Это его проблемы, все уже устали объяснять что как и почему

Я пока еще не знаю, где его включили

Это опять же Ваши проблемы.

Вы просто не знаете как маинтейнеры готовят дистрибутив

Разумеется. Судя по твоему треду недавно, разработчики и тебе объяснили, куда тебе пойти с твоими предложениями :) Им виднее.

Нет патчей - значит «небожители» так решили. Конморфно живешь

Отличное сообщество, да.

Посмотрю со стороны на «развитие» дистрибутива и его «сообщества»

Да, я тоже не знал (и до сих пор не знаю всех подробностей) как готовят дистрибутив и тоже делал поспешные выводы. А у разных дистрибутивов разные политики разработки, их не под копирку делают.

Просто забей, этот дистр мертвее чем FreeBSD. Он до сих про существует лишь потому, что obs очень сильно автоматизирован и делает почти все сам. Любой дурак может раз в неделю запускать простенький скрипт, и из каждый раз из пакетов будет собираться дистрибутив. Реальной разработки за этим не стоит, все нормальные люди оттуда свалили 7-10 лет назад.

https://saahriktu.org/tmp/goodsuse.png

Ну в Зузе с каждым релизом что-то всё хуже и хуже дела идут.
Сейчас глянул у себя

 ffmpeg version 3.4.8 Copyright (c) 2000-2020 the FFmpeg developers
  built with gcc 7 (SUSE Linux)

Ну а со стандартными репами давно уже такая фигня, наверное ещё с дистра 42.3. Печаль, но ничего не поделаешь.