python-2

Решето!

А в чём трагедия?
В любой живой программе есть некоторое количество незакрытых багов. И что? В чём масштабность именно этих багов? Что обсуждать-то? Что их несколько месяцев не исправляют? Значит заняты чем-то другим.
О, времена! О, нравы! Мир настолько уныл и скучен, что нам предлагают обсуждать пару багов в интерпретаторе питона.
Тьфу ты!

Продолжаем разговор у sys-apps/file типа закрыли CVE-2014-1943 но еще оставили

CVE-2013-7345 Bug #505534 Reported: 2014-03-24 09:05 UTC

и

CVE-2014-2270 Bug #503582 Reported: 2014-03-06 08:18 UTC

Я вот не пойму чому питонщики насилуют труп второй версии? Много легаси и не переписанных либ?

И мне лень искать но еще по моему у sys-libs/glibc как минимум CVE-2013-4788 но это хз… bug #477330 Reported: 2013-07-18 19:05 UTC

А в чём трагедия?

Это все есть в stage3 т.е. в любой системе. Все эти уязвимости выявлены уже хз когда и ни одна из них не закрыта.

Hardened // thread

Эти слова тебе скажет любой тру-генту-админ :D

Hardened // thread
Эти слова тебе скажет любой тру-генту-админ :D

Про hardened как правило знают те кто до этого уже использовал обычную gentoo. А всех остальных без hardened-а, коих большинство, ждёт решетистое решето!

Мне тут разработчики генты ныли в IRC, что они «severely understaffed». Они кстати об этом уже несколько лет ноют, но всё так же продолжают себя вести как м%?№ки.

Мне тут разработчики генты ныли в IRC, что они «severely understaffed». Они кстати об этом уже несколько лет ноют, но всё так же продолжают себя вести как м%?№ки.

Это я ещё глубоко не рыл а только так по stage3 прошелся… Причем что самое смешное вообще все патчи есть. Т.е. надо тупо скачать положить их в положенное место, дописать epatch и закрыть баг. Просто печально во что превращается чудесный дистрибутив.

Я вот не пойму чому питонщики насилуют труп второй версии?

Очевидно что потому что:

Много легаси и не переписанных либ?

Да и ещё больше лени.

А вообще это хорошая тема для отдельного срача.

Это ещё что. В gtk-2/gtk-3 такие вот проблемы и всем насрать.

Ты не путай gtk+ ( его в stage3 нет ) со всем перечисленным ( оно гарантированно есть на всех компах с gentoo и на всех stage что сейчас выложены в сети на официальных ftp).

Т.е. перечисленное выше „счастье“ это в 99% случаев гарантированная дыра практически в любой машинке с gentoo.

Причем что самое смешное вообще все патчи есть.

Это не самое смешное. Самое смешное - это то, что, даже если ты этот патч запихнешь им в рот^W^W^W^Wположишь в багзиллу, они всё равно зачастую не могут его наложить. Говорю из собственного опыта :)

Тоже мне, открыл Америку с Таратутой. Сколько Гента существует, столько все удивляются насколько отвратительно работает GLSA, и как вообще в генте все плохо с безопасностью, и как критические дыры, которые даже в Слаквари и Арче уже позакрывали, висят там годами.

запили у себя в оверлее ебилды с патчами, вместо того, чтобы ныть в толксах. чё разнылся? думаешь, это что-то изменит? а фиг там! всё как было через жопу, так и останется, ибо тех, кто заинтересован в дев не берут, потому, что и остальным придётся вкалывать. не нравится — иди на слакварь или арч, или ещё куда. а о багах знают те, кому надо, и, наверняка, уже пропатчили сабжи у себя.

на это сообщение отвечать не нужно, мне больше нечего сказать.

Про hardened как правило знают те кто до этого уже использовал обычную gentoo. А всех остальных без hardened-а, коих большинство, ждёт решетистое решето!

Все гентушники сидят в hardened профилях...

Новички, которые отказываются при установки от укреплённой и безопасной генты используют её для игр...

Это не самое смешное. Самое смешное - это то, что, даже если ты этот патч запихнешь им в рот^W^W^W^Wположишь в багзиллу, они всё равно зачастую не могут его наложить.

А я им и положил прям в багзиллу. Вот потому и говорю запасаемся попкорном.

запили у себя в оверлее ебилды с патчами, вместо того, чтобы ныть в толксах. чё разнылся?

«Разнылся»? Да ты по моему попутал.

Все гентушники сидят в hardened профилях...

Ага. Прям вот так все. Да они как правило без genkernel ядро не могут собрать а ты вот так прям всех всех поголовно пересчитал и авторитетно заявляешь про „всех“.

Hardened // thread

# paxctl -v /usr/bin/python*

там по умолчанию снята защита памяти!!!!!!!!!!!!!!!!!!!

;)

Ага. Прям вот так все.

Да, ВСЕ гентушники используют Hardened Gentoo ибо другой видимой причины усердно компилять ведро и всю систему, тратя электричество и время не вижу.

Да, ВСЕ гентушники используют Hardened Gentoo

Пруф или небыло.

ВСЕ гентушники используют Hardened Gentoo

Да ты ж упоротый!

ZOPE, Django, .....

Ну ладно, подавляющие большинство ;)

В Django вроде как должна быть поддержка третьего то.

Причем что самое смешное вообще все патчи есть. Т.е. надо тупо скачать положить их в положенное место, дописать epatch и закрыть баг

Ты забыл про регресс-тестирование. Которое для таких вещей как glibc и gcc в Gentoo может квалифицированно выполнить полтора человека.

всё как было через жопу, так и останется, ибо тех, кто заинтересован в дев не берут

Позвольте поинтересоваться степенью написания вами ebuild-квиза и ником вашего ментора.

Квиз даже не начат и ментора нет? Ок, вопросов больше не имею

Хочу подчеркнуть, для тех, кто возможно не понял моих предыдущих сообщений.

Я не пытаюсь сказать что у нас всё радужно и шоколадно. Как раз наоборот. Присутствующие уязвимости - это очень, очень хреново, я в курсе происходящего как член Gentoo Security, можете не сомневаться.

Проблема в том, что core system у нас сейчас реально занимаются 2-3 человека, из них достучаться до того, кто может реально ответить на любой вопрос(vapier) практически нереально.

Вот так и живём :-(

CVE-2013-7345 Bug #505534 Reported: 2014-03-24 09:05 UTC

Пофикшено в file-5.17, фикс уже давно в stable

Пофикшено в file-5.17, фикс уже давно в stable

Я проверял на х86_64 gentoo-prefix а он немного отстает от просто gentoo так что в аппстриме могли просто бампануть но до префикса оно еще не дошло.

так что в аппстриме могли просто бампануть но до префикса оно еще не дошло.

Это уже к Prefix team, они стараются все патчи утащить в главное дерево, но там тоже много работы.

Зашёл на сайт, есть поддержка 3,2 и 3,3 это хорошо можно начинать ставить и переводить сайты..

Это уже к Prefix team, они стараются все патчи утащить в главное дерево, но там тоже много работы.

Это все понятно и никаких претензий. К тому же читал я тоже не силь внимательно так что и пропустить мог.

Зашёл на сайт, есть поддержка 3,2 и 3,3 это хорошо можно начинать ставить и переводить сайты..

portage давно умеет python3. Все основные вещи тоже. Вопрос вовсе не в этом. По производительности python3 значительно уступает python2.

у меня:

USE_PYTHON="2.7 3.3"

$ eselect python list
Available Python interpreters:
  [1]   python2.7 *
  [2]   python3.3

вот на счёт производительности питона 3 впервые слышу.

В целом по палате python3 примерно раза в полтора „тормознее“ чем python2. Если интересно конкретнее поищи сравнения производительности - их в сети полно.

Да, ВСЕ гентушники используют Hardened Gentoo

Я не использую hardened.

ибо другой видимой причины усердно компилять ведро и всю систему, тратя электричество и время не вижу.

А ну это серьезный аргумент - «я причины невижу».

Я не использую hardened.

Начать никогда не позно: К выходу tails 1.1 (комментарий)

Можно личный вопрос?

Есть какая-то причина почему вы не используете Hardened профили Gentoo?

Начать никогда не позно: К выходу tails 1.1 (комментарий)

Не поздно, но зачем?

Есть какая-то причина почему вы не используете Hardened профили Gentoo?

А зачем?

https://grsecurity.net/features.php

https://grsecurity.net/features.php

Как страшно жить (с) Народное.

Как страшно жить (с) Народное.

«Предохраняйся» (с) Практичное...

829 bugs found…