Вот и правильно! Удар «Обороноспособность» надо держать!

Может всё-таки бюллетеней безопасности? Исправьте тэг.

Ну раз надо, значит надо. Проверим.

без надобности...

4.2 в названии темы

Исправления уязвимостей (обновления безопасности) никогда и не прекращались. Возобновляется уведомление пользователей об этом.

glsa-check -tv all

This system is not affected by any of the listed GLSAs

Я могу быть спокоен?

Это, видимо, дырки апача, кернелорга и т.п. заставили их пошевелиться.

Все уязвимости, устраненные с января, будут сгруппированы и представлены вместе, хотя, скорее всего, в вашей системе все уже исправлено путем регулярных обновлений.

Ага, особенно на продакшене этим очень удобно заниматься, обновляясь не переставая.

Ну отлично же!

Какой неадекват поставит gentoo в продакшене?

То, что GLSA вернули - это правильно. Но то, что предполагалось, что люди и так беспрерывно обновляют свою систему - это несколько странно. Хотя, для Gentoo, которое часто ставят для того, чтобы именно такими вещами и позаниматься - всё возможно.

Ознакомьтесь.

Видел много раз Gentoo в продакшене. Хоть, признаться, ни разу не был инициатором её установки там. Обычно, вся её пресловутая гибкость меркнет на фоне процедуры обновлений и её возможных в Gentoo последствий.

Там всё-таки дистрибутив, основанный на Gentoo. Скорее всего, оверлеи с бинарными обновлениями, вылизанные на предмет того, чтобы при etc-update ничего вдруг не упало и не нужно было даже ковыряться.

Google, насколько я помню, тоже использует Gentoo в качестве конструктора для своей ChromeOS. И как конструктор, кстати, Gentoo - отличный выбор. Минимум прибитого гвоздями, максимум свободы. Но на продакшене в чистом виде плюсы Gentoo нередко превращаются в минусы.

> хотя, скорее всего, в вашей системе все уже исправлено путем регулярных обновлений.

То есть, скорее да, чем нет?

[Samba 4] Как пользоваться редактором реестра Windows? (комментарий)

гентушник-некрофил - это парадокс by design

Это как во FreeBSD бюллютни безопасности?

> Ага, особенно на продакшене этим очень удобно заниматься, обновляясь не переставая.

Ты не поверишь, но как раз на продакшине в виде узкоспециализированных серверов это крайне удобно.

Так вот почему ничего нового не получал, я уж было подумал, что в генте дыр нет.

>glsa-check

А под слакой оно идет?

..в чистом виде плюсы Gentoo нередко превращаются в минусы.

Если человек, хорошо разбирается - плюсы, будут плюсами.. и это никак не повод называть его неадекватом.

Для установки обновлений потребуется регулярно пересобирать мир, ставить бетаверсии ядер и иксов, не пересоберёшь - сожрут хакеры, неплохое развлечение придумано вместо спокойного использования линукса.

>зачем ты так тупо и бездарно звиздишь, шалава?

Залогинься и выскажи свои умные мысли в цивилизованной форме, если у тебя такие вообще имеются.

>Ну ты и лошара.

Умненький мальчик, напряги извилину и подумай на тему, если бы в консерватории всё было спланировано по уму, то стали бы пользователи в массовом порядке покупать RHEL? И да, твой пост скоро потрут.

>Какой неадекват поставит gentoo в продакшене?
Зависит от упоротости админа, доводилось генту даже в отделении одного
такого малюююсенького банка видеть, но обычно при смене админа это выгребается
при первой возможности.

не корми троля

А их не было? Аа, то-то бедняга мегабакс такой нервный был. Попробуй-ка, посиди на мине, которая рванёт при малейшей попытке её пересобрать.

glsa-check -tv all
This system is affected by the following GLSAs:
[A] means this GLSA was marked as applied (injected),
[U] means the system is not affected and
[N] indicates that the system might be affected.

201010-01 [N] [remote  ] Libpng: Multiple vulnerabilities ( media-libs/libpng-1.2.46 media-libs/libpng-1.5.5 )

Affected package:  media-libs/libpng
Affected archs:    All
Vulnerable:        <1.4.3
Unaffected:        >=1.4.3

Вот черт, что же мне теперь, хромиумом не пользоваться, раз ему libpng:1.2 нужна?

Это как во FreeBSD бюллютни безопасности?

Да.

Ты не поверишь, но как раз на продакшине в виде узкоспециализированных серверов это крайне удобно.

Я в курсе. Но в общем случае на куче серверов гораздо проще обновления безопасности проводить в том же RHEL или Debian. На Gentoo всё-таки нужен тестовый сервер, бездумно обновлять нельзя. Но это уже не столько специфическая ситуация для Gentoo, как для всех rolling-дистрибутивов.

для обеспечения работы торговой платформы крупнейшей биржи NASDAQ, являющейся рекордсменом по скорости обработки торговых операций, используется собственный Linux-дистрибутив, основанный на технологиях Gentoo Linux.

там не гента. написано же

дырки апача, кернелорга

Их участники, проэтовавшие свои логины, через которые просунули мальварь на серверы, конечно, нехорошие люди. Но называть их дырками, ПМСМ, чересчур.

хе, значит не я первый подумал, что Гента должна быть годна в качестве build-бэкэнда, а не самостоятельной игрушки... чортов Гугль!

glsa-check -tv all
This system is not affected by any of the listed GLSAs

Можно спать спокойно.

поэтому смысл использовать генту есть только в случае хорошего специалиста, чтобы затраты ресурсов перебить

Вот черт, что же мне теперь, хромиумом не пользоваться, раз ему libpng:1.2 нужна?

я удалил libpng-1.2.46 и chromium-14.0.835.202 продолжает работать с установленной libpng-1.4.8-r1 (revdep-rebuild ничего не предложил переустановить)

я удалил libpng-1.2.46 и chromium-14.0.835.202 продолжает работать с установленной libpng-1.4.8-r1 (revdep-rebuild ничего не предложил переустановить)

В хромиуме многие библиотеки динамически подгружаются через dlopen, revdep-rebuild ничего не говорит в этом случае. Сейчас попробовал удалить, хромиум падает с ошибкой

Inconsistency detected by ld.so: dl-open.c: 597: _dl_open: Assertion `_dl_debug_initialize (0, args.nsid)->r_state == RT_CONSISTENT' failed!

Что характерно, эта зараза никогда не говорит, какой библиотеки ей не хватает.

//chromium-16.0.899.0

Как раз наоборот, все что подвержено уязвимостям - маскируется, а исправленное - размаскировывается. Т.е. если регулярно обновляться до текущей стабильной версии, то Gentoo будет минимально уязвима.

> чтобы при etc-update ничего вдруг не упало и не нужно было даже ковыряться.

Etc-update сделан как раз наоборот, что б ничего не падало и по дефолту, после обновления пакета, юзается старый конфиг, а не новый. Мержить конфиг можно построчно. Как тут что-то можно поломать - не очень понимаю.

Проверил, но как так получилось, что оно не баттхёртит при виде флеша?! :)

>Какой неадекват поставит gentoo в продакшене?

Действительно, какой идиот поставит Linux в продакшене?

> Там всё-таки дистрибутив, основанный на Gentoo. Скорее всего, оверлеи с бинарными обновлениями, вылизанные на предмет того, чтобы при etc-update ничего вдруг не упало и не нужно было даже ковыряться.

Как может что-то упасть при etc-update? Ситуацию, когда выполняем etc-update и не смотрим что меняем, мы в расчёт не берём, разумеется.

ИМХО, «допиленная» под свои нужды Gentoo == Gentoo.

Etc-update сделан как раз наоборот, что б ничего не падало и по дефолту, после обновления пакета, юзается старый конфиг, а не новый. Мержить конфиг можно построчно. Как тут что-то можно поломать - не очень понимаю.

Это всё понятно. Однако, многолетний опыт подсказывает, что, к примеру, обновить 50 серверов Gentoo, чтоб ничего не упало, намного энергозатратнее, чем обновить 50 серверов RHEL.

http://www.opennet.ru/opennews/art.shtml?num=27938

>> Это как во FreeBSD бюллютни безопасности?

Да.

Понятно. Нововведение - просто жуть.

Ну да, ну да. Сравнивать hardened ядро в генте с обычными ядрами в дистре это пять. Возможно в секьюрити плане гента где-то и выигрывает, но обновлять парк машин удобней все-таки на пакетных дистрах. А при должной кривизне рук и обычный дистр можно заточить не хуже генты в плане безопасности. Так что исследование ниачом.

Спасибо разработчикам! А по поводу продакшна - я думаю, что внезависимости от дистрибутива должна быть тестовая площадка, если даже не для обновлений, то для проведения тестирования всяких плановых работ.. Для проверки работоспособности большинства обновлений достаточно своего компа))

Юзаю dispatch-conf.
Да, на серверах)

Для проверки работоспособности большинства обновлений достаточно своего компа

Не думаю, что у каждого в качестве компа используются HP Proliant или другие серверные платформы =)