LINUX.ORG.RU
ФорумSecurity

Обновления слаквари. Караул!


0

1

Обнаружил вот, что в Slackware 13.1 (да и в -current тоже) ядро имеет версию 2.6.33.4. Насколько я знаю, оно там почти ванильное. Но, ёлки-палки, ветка 2.6.33.x ещё со 2-ого августа R.I.P., Slackware Security Team тоже никаких обновлений к ядру не выпускала. А тем временем для остальных веток Торвальдс выпустил уже по нескольку критических обновлений.

В общем, вопрос такой: есть ли в 2.6.33.4 тот эпичный баг с пересечением кучи и стека, и, если таки есть, то кто Патрег после этого - бог или диавол? Или просто nobody cares?

(полу)бесплатная электронная почта (нужна)
Где взять патчи xen для сборки ядра?

`zcat /proc/config.gz > config` и подложить конфиг в актуальные сорцы религия не поваляет? ИМХО, это как раз в духе слаки.

ostin ★★★★★
()
Ответ на: комментарий от ostin

Ну, так по идее Патрег и прочие мейнтейнеры должны заботиться о выпуске патчей и обновлений. Да и Слака - это как бы не Гента, и пользователи не обязаны компилировать ядро сами. А если Патрег и за другими пакетами столь же «усердно» следит?

P.S. Что делает 2.6.33.7 на главной странице www.kernel.org? Вроде тот баг был настолько древний, что был во всех 2.6.x (по крайней мере, все поддерживаемые ветки обновились). В LKML 2 августа было объявлено, что больше обновлений для 2.6.33.x _не будет_. Ну, и какого чёрта тогда Линус предлагает пользователям заведомо бажное ядро с критической уязвимостью?

anonymous-kun
() автор топика
Ответ на: комментарий от ostin

Я хотел мигрировать с федоры на слаку... Но как-то не хочется после таких открытий. Или в 2.6.33-ветке бага чудесным образом нет (?!), или обновления выпускаются через месяц после закрытия уязвимости разработчиком, или майнтейнерам и всем, кто юзает слаку, по***. Или, действительно, слакой не пользуется никто.

anonymous-kun
() автор топика
Ответ на: комментарий от anonymous-kun

Ну, так по идее Патрег и прочие мейнтейнеры должны заботиться о выпуске патчей и обновлений.

Осторожнее с такими шутками, я ведь чуть со стула не упал. Это в RedHat и SuSe тебе могут быть что-то должны. В Debian с этим тоже очень неплохо, хоть он и некоммерческий. А Слака делается Патрегом just for fun.

GotF ★★★★★
()
Ответ на: комментарий от anonymous-kun

>или майнтейнерам и всем, кто юзает слаку, по***

очевидно, последнее, остальные Слаку не используют

annulen ★★★★★
()
Ответ на: комментарий от GotF

> Это в RedHat и SuSe тебе могут быть что-то должны.

Да не должны, конечно. Но печально, что слака - решето.

anonymous-kun
() автор топика
Ответ на: комментарий от GotF

Так более правильно: А Слака делается Патрегом just for lulz.

Lumi ★★★★★
()

> В общем, вопрос такой: есть ли в 2.6.33.4 тот эпичный баг с пересечением кучи и стека

А был ли мальчик? А может маальчика то и не было!

ipwww ★★
()

Патрик включает в дистр только проверенные вещи, поэтому у слаквари версии ядер более старые чем у других, но к моменту выпуска эти ядра уже пропатчены и обезбажены!

ipwww ★★
()
Ответ на: комментарий от ipwww

>поэтому у слаквари версии ядер более старые чем у других, но к моменту выпуска эти ядра уже пропатчены и обезбажены!

Блажен кто верует, воистину!

Led ★★★☆☆
()
Ответ на: комментарий от Led

да расслабьтесь Патрег как обычно идет другим путем. Отрывок из ченчлога:

Fri Aug 27 00:23:17 UTC 2010 patches/packages/xorg-server-1.7.7-i486-2_slack13.1.txz: Rebuilt. Patched to prevent overwriting stack memory and bypassing security mechanisms on systems that use a 2.6 Linux kernel. Reported by Rafal Wojtczuk. For more information, see: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2240 (* Security fix *) patches/packages/xorg-server-xephyr-1.7.7-i486-2_slack13.1.txz: Rebuilt. patches/packages/xorg-server-xnest-1.7.7-i486-2_slack13.1.txz: Rebuilt. patches/packages/xorg-server-xvfb-1.7.7-i486-2_slack13.1.txz: Rebuilt.

abumbaher
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
(полу)бесплатная электронная почта (нужна)
Security
Где взять патчи xen для сборки ядра?