Релиз Linux 4.13.7, закрывающий критическую уязвимость CVE-2017-5123

быстро исправили

Спустя 2 всего дня

введённую в мае этого года

Спустя 2 всего дня после релиза 4.13.6 вышел релиз Linux 4.13.7

Я вот тоже не понял, разработчики только сейчас узнали об этой уязвимости? Если она была опубликована несколько месяцев назад, что мешало подождать с выпуском 4.13.6 и закрыть ее? Зачем ради этого отдельный выпуск?

введённую в мае этого года.

Видимо перестала быть нужной всяким АНБ...

А где обещанный VPLS?
Ожидаем VPLS в Linux

я пытался

да, узнали между релизами 4.13.6 и 4.13.7

Если она была опубликована несколько месяцев назад, что мешало подождать с выпуском 4.13.6 и закрыть ее? Зачем ради этого отдельный выпуск?

Она не была опубликована несколько месяцев назад. Об уязвимости сообщили (и дали прототип патча) под NDA. С договорённостью выпустить патч в заранее оговорённый момент времени, одновременно для всех систем. Но некоторые маргиналы разтрезвонили раньше времени.

anonymous, greenman, спасибо за информацию.

Все равно я не понимаю смысла запрещать в течение месяцев(!) закрывать уязвимости. По поводу патча еще могу понять, но почему сразу не донести информацию до разработчиков, чтобы они могли принять меры самостоятельно?

Информацию как раз и донесли до разработчиков. А принятые преждевременно (т.е. не синхронно с остальными системами) меры (т.е. выпущенный патч) как раз фактически раскрывает уязвимось (для всех, кто просматривает патчи) и ставит под удар всех остальных (кто собрался выпустить патч для своей системы в обусловленное заранее время). Эгоизм и подстава.

А принятые преждевременно (т.е. не синхронно с остальными системами) меры (т.е. выпущенный патч) как раз фактически раскрывает уязвимось (для всех, кто просматривает патчи) и ставит под удар всех остальных (кто собрался выпустить патч для своей системы в обусловленное заранее время). Эгоизм и подстава.

Так любую конкуренцию можно «эгоизмом и подставой» назвать.

IMHO, если бы кто-то сразу же выложил патч, остальные тоже зашевелились бы, и уязвимость оказалась бы везде закрыта в течение дней, а не месяцев.

Читайте уж историю этой уязвимости.

Теперь OpenBSD будет шевелиться последней, увидев чужие патчи, только и всего.

Так любую конкуренцию можно «эгоизмом и подставой» назвать.

Вот только информацию об уязвимости патч предоставили проекту OpenBSD, а не они сами до всего дошли и сделали. Проекту оказали помощь и по-хорошему попросили не гадить всем. Тео в ответ повёл себя в обыкновенном репертуаре - паразитически, да ещё и права, которых у него отродясь не было, стал качать. Так что не было никакой конкуренции. Есть всего лишь сообщество и один больной ублюдок (Тео), который в очередной раз решил паразитировать в стиле манагера крупной конторы.

Так вот кто каждые 10 минут делает cvs log в OpenBSD! И читает, читает, читает коммиты!

Отлично, уже обновился.

Вот только информацию об уязвимости патч предоставили проекту OpenBSD, а не они сами до всего дошли и сделали.

This.

Все равно я не понимаю смысла запрещать в течение месяцев(!) закрывать уязвимости.

Где про это написано ? В новости написано не это.

Вот только информацию об уязвимости патч предоставили проекту OpenBSD

Что-то я совсем запутался. Почему только OpenBSD предоставили? А остальным как?

Проекту оказали помощь и по-хорошему попросили не гадить всем.

IMHO, дурацкая просьба. Разве это дело, 4 месяца(!) тянуть с закрытием дыр?

И что мешало Teo связаться с коммьюнити других дистрибутивов и поделиться информацией?

Где про это написано ? В новости написано не это.

Там как-то непонятно написано. Как я понял (возможно, неправильно), в мае обнаружили (кто обнаружил?) уязвимость, но договорились (кто и с кем?) не распространять эту информацию и не публиковать патчи до некой фиксированной даты.

Вот последняя практика меня и возмущает...

в мае обнаружили (кто обнаружил?) уязвимость

Не обнаружили, а создали: «введённую в мае этого года». Слово «введено» никак не обозначает «обнаружено». Или ты подозреваешь сознательное введение ? Ну так тогда кодер сознательно молчал, а никто не знал больше. :-)

но договорились (кто и с кем?)

Производители продуктов, кого это затрагивает. Хотя к данной теме не сильно относится.

не распространять эту информацию и не публиковать патчи до некой фиксированной даты.

Это - правильная практика. Надо ещё патчи приготовить, протестировать и т.п. Одно дело в домашней железке, которую не страшно патчем завалить, другое - в производстве. Немедленная публикация поставит под немедленный же удар очень много пользователей.

Не обнаружили, а создали: «введённую в мае этого года». Слово «введено» никак не обозначает «обнаружено».

Черт, это я идиот :(. Читать не умею, спасибо. Тогда все более-менее понятно.

Или ты подозреваешь сознательное введение?

Нет, конечно :).

Это - правильная практика. Надо ещё патчи приготовить, протестировать и т.п.

Если речь идет о днях, то да, это оправдано. А если кто-то уже подготовил патчи, а кто-то тянет, то ждать месяцы, IMHO, недопустимо. Это уже проблемы тех разработчиков, которые не успели в разумный срок дыру заткнуть.

Впрочем, так, наверное, и не бывает, это я исходную новость неправильно прочитал.

Еще раз большое спасибо за объяснения.

Эстонцы, у меня в генте уже 4.13.8.

Что-то зачастили.

4.13.8

4.13.9

Главное Лёню с компанией к ведру на пушечный выстрел не подпускать, ибо тогда подобные новости об уязвимостях будут каждый день. При этом закрытых как NOTABUG.