Решето

не совсем понял, как связано наличие дыры и внезапного запрета на доступ к исходникам?

не совсем понял, как связано наличие дыры и внезапного запрета на доступ к исходникам?

Может нашли дырку в лицензии постгрес?

Что непонятного-то?

one of the security issues due to be fixed next week is sufficiently bad that we need to take extra measures to prevent it from becoming public before packages containing the fix are available

не совсем понял, как связано наличие дыры и внезапного запрета на доступ к исходникам?

Вероятно нашли бекдор. :)

Дырка настолько страшна что даже хакеры бояться ее использовать?

может они это, попиариться хотят и внимание привлечь )

А вдруг все кульхацкеры-эксплойтописатели резко кинутся искать эту дырку, и таки найдут до релиза патчей? Не лучше было бы тихо выпустить патч, ничего не объявляя

Не лучше было бы тихо выпустить патч, ничего не объявляя

Тогда бы многие остались на прежних версиях с дырами, ибо не было бы бекпортирования патчей (как секурных), плюс лень и всё такое.

Все равно не понятно, каким образом это избавляет от уязвимости? Или её внесли в код недавно и она не успела распространиться? O_O

От запрета выкачивать исходники бекдор пропадает?

каким образом это избавляет от уязвимости?

А где-то написано, что это избавляет от уязвимости?

каким образом это избавляет от уязвимости?

Не избавляет, конечно, но не позволит раньше времени увидеть коммиты, её исправляющие.

ну объявлять надо потом, когда обновления готовы

Т.е. security through obscurity за которую так ненавидят проприетарщиков вообще и ms в частности мы на самом деле тоже любим использовать? ну-ну.

Ну, даже не знаю что сказать.
Если подумать хорошенько - и ваш и их путь имеет право на жизнь.
Но их всё же я бы принял более живо, ибо если бы у меня были какие-то важные данные в постгрессе, и она бы была доступна из вне - скорее всего бы потушил её до патчей.

ОК, спасибо! Теперь понятно.

и она бы была доступна из вне - скорее всего бы потушил её до патчей.

Хорошо говорить «потушил бы», а если это бизнес-критикал продакшн?

Т.е. security through obscurity

WAT.

«This will prevent the commits that fix and document the bug from becoming visible to anyone except Postgres committers».

Хорошо говорить «потушил бы», а если это бизнес-критикал продакшн?

Хотел было делать на это поправку, но с таким не сталкивался, что бы в продакшенах она смотрела в наружу; а за не имением такого опыта - решил что поправка была бы слишком академической.

Это оно и есть. Частный случай.

Это еще вопрос, remote ли это уязвимость. А то может какой-то фатальный баг, для эксплуатации которого можно даже application работающий с ним через socket/localhost использовать.

важные данные в постгрессе

она бы была доступна из вне

Wut?

Разумное замечание, совершенно о таком не подумал.

Не знаю даже что придумать на эту ситуацию :)
Но а вдруг...

Это оно и есть

Во-первых, это не оно; во-вторых, предложи другое решение.

Все тлен и прах. Потом кулхацкеры прогонят дифф и все и так выяснится. Через месяц на хабре будет перевод поста про то, как кто-то это сделал и пол-интернета оказались в говне по уши.

Кто не накатывает обновлений безопасности, тот погорит обязательно. У меня к таким людям не может быть жалости, тупо неоткуда взять.

Не, я могу придумать варианты. В одной системе аутентификация и авторизация пользователей сделана ораклом, клиент работает с базой напрямую, поэтому теоретически никто не мешает запускать оракл-клиент какой-нибудь и делать любые запросы, тут бы уязвимость была некстати. Еще я не знаю, как на шаред хостингах устроено, наверняка тоже один инстанс базы на всех делится, поэтому тоже могут быть проблемы. Но это настолько редкие случаи, что объявлять какое-то военное положение из-за этого странно.

Или там insert into foo values('string-that-crashes-postgres') нашли? Если так, то да, но такую багу пропустить почти нереально.

А вообще, имхо, зря эту бучу подняли. Написали бы главным коммитерам про багу и в обычном режиме работали бы дальше, пока они фиксят багу, и потом с коммитом-фиксом сразу новость.

Во-первых, это не оно;

Угу. Когда меня грабят - это преступление. А когда я - это справедливость.

Ожидаемо.

Во-первых, это не оно; во-вторых, предложи другое решение.

https://en.wikipedia.org/wiki/Full_disclosure

Во-первых, это не оно; во-вторых, предложи другое решение.

https://en.wikipedia.org/wiki/Full_disclosure

Ты сам-то читал, что там написано?

«Even among those who believe in disclosure there are differing policies about when, to whom, and how much to disclose.

Some believe that in the absence of any public exploits for the problem, full and public disclosure should be preceded by disclosure of the vulnerability to the vendors or authors of the system. This private advance disclosure allows the vendor time to produce a fix or workaround».

Это «Various interpretations» и «This philosophy is sometimes called responsible disclosure.»

Я имел ввиду «The theory behind full disclosure is that releasing vulnerability information immediately results in quicker fixes and better security.»

Я имел ввиду «The theory behind full disclosure is that releasing vulnerability information immediately results in quicker fixes and better security.»

А я имел в виду, что тебе следовало прочитать всю статью, а не один абзац. В частности, определение того, что есть full disclosure:

«full disclosure is the disclosure of all the details of a security problem which are known».

Очень просто. Между появлением коммитов в гите и сборкой исправлений есть промежуток времени за который могут успеть кого-нибудь поиметь. Если скрыть код до выпуска исправлений, то это усложнит жизнь злоумышленникам. Если дыра совсем страшная, то надо открывать гит через месяц после публикации бинарей и тарбола.

а как быть тем, кто из исходников собирал постгрескьюэл, генту-юзерам, например?

Так тарбол появится.

дифф конечно трудно сделать и найти исправление бага, даа :)

в постгресе

зачем он нужен, если есть мускул от оракла?

мускул и тем более от оракла не нужен

почему?

diff != git log
diff == все изменения с Release-X до Release-Y

Как говорил один мой знакомый разработчик postgres'а, MySQL — не база данных, а сервер электронных таблиц :)

diff == все изменения с Release-X до Release-Y

diff == все изменения с любого опубликованного коммита до Release-Y.

Я ровно про то и говорю.
Комментарии от коммита в тарболл не попадут.
Думаю, до релиза закоммитят не только этот фикс.

Кто не накатывает обновлений безопасности, тот погорит обязательно. У меня к таким людям не может быть жалости, тупо неоткуда взять.

Такие «ненужнисты» всплывают в каждой теме про андроид, когда начинаешь этих бакланов тыкать в факт что апдейтов - даже секурити фиксов - нету впринципе, кроме как купить новый андроидофон со следующей минорной версией аднроида.

Я ровно про то и говорю.

Нет. Ты даже не понял, в чем я тебя пытался поправить.

Комментарии от коммита в тарболл не попадут.

Еще раз: не нужно делать diff между Release-X и Release-Y. Достаточно взять diff между $LAST_PUBLISHED_REPO_VERSION и Release-Y. Этот diff будет на порядок меньше diff между ревизиями, и багфикс (а, следовательно, и баг) будет найти на порядок проще.

Что, тем не менее, на порядок сложнее,чем найти багфикс между commit-a и commit-a+1, о чем я тебе третее сообщение уже подряд говорю.

Что, тем не менее, на порядок сложнее,чем найти багфикс между commit-a и commit-a+1, о чем я тебе третее сообщение уже подряд говорю.

Объяснять мне эту очевидную вещь ты не пытался.

*facepalm*
«ты не понял » - синоним «собеседник не пытался»?)