On Thu, Jan 06, 2005 at 02:35:32AM +1000, Dmitry Derjavin wrote: > On Wed, Jan 05 2005 at 01:12, "Dmitry V. Levin" wrote: > > >> >> http://lists.altlinux.ru/pipermail/security-announce/2003-September/000187.html > >> >> > >> >> На этой кожуре от банана отпечатки ваших зубов, Дмитрий. ;) > >> > > >> > Ну, надписи типа сентябрьской можно отсылать по cron'у. :) > >> > >> Если можно, отсылайте пожалуйста! Собственно, именно этого-то и > >> хочется в первую очередь. > >> > >> Сделаете? > > > > Я не вижу для этого нормальной формы. Подскажете? > > Не совсем понятно, что вы подразумевали под формой.. > > Хотелось бы, чтобы после того, как ST становится известно о > существовании уязвимости в программном продукте, в каком-то виде > входящем в Sisyphus, в security-announce@ появлялось бы письмо > примерно следующего содержания: > > "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в > продукте таком-то, могущая привести к таким-то печальным > последствиям. По зависящим от ST причинам ;) текущая сборка altlinux > уязвимости не подвержена." Насколько я понимаю, так редко кто поступает, разве что в ответ на ложную информацию о якобы существующей уязвимости. Если вы действительно хотите поднять планку так высоко, то надо искать добровольцев. > Или: > > "Тогда-то (время) тем-то (имя) обнаружена (ссылка) уязвимость в > продукте таком-то, могущая привести к таким-то печальным > последствиям. Версии продукта, входящие в состав таких-то > дистрибутивов altlinux подвержены данной уязвимости. По независящим от > ST причинам подготовка официального обновления > задерживается. Параллельно с ST подготовка обновления ведётся силами > сообщества. Обсуждение подготовки неофициального апдейта проходит в > рассылке такой-то (ссылка на первое сообщение треда). Ожидаемое время > появления официального апдейта -- такое-то, неофициального -- > такое-то." А не проще ли завести специальную рассылку для координации действий такого рода. Кого интересуют неофициальные обновления, сможет подписаться в режиме readonly. Дело в том, что написание продуманных анонсов порой занимает непозволительно много времени, и если это возможно делегировать, то надо попробовать. И, главное, скажите пожалуйста, что делать с теми уязвимостями, над подготовкой обновлений к которым фактически никто не работает? > И после выхода обновления, не важно -- официального или нет, хотелось > бы сразу же видеть в security-announce соответствующий анонс. > > >> Главное, что хочется понять в результате -- в чём конкретно можно > >> сейчас полагаться на Security Team, а в чём нет. > > > > А что вы, собственно, ждёте именно от ST на данном историческом > > этапе? > > Хороший вопрос. На данном этапе -- в первую очередь анонсов, о которых > сказано выше. > > Во вторую, видимо, всего того, для чего она создавалась, только с > поправкой "координация усилий сообщества по ...". И далее по тексту > начиная разработкой рекомендаций для пользователей и заканчивая > подготовкой обновлений. Интересно, у кого-нибудь ещё есть мнение на эту тему? > А вы как ответили бы на свой собственный вопрос? Предлагаете заняться самокопанием в списке рассылки? Нет, спасибо. :) -- ldv