* [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
@ 2008-01-19 16:46 ` Michael Shigorin
2008-01-19 18:41 ` Stanislav Ievlev
0 siblings, 1 reply; 14+ messages in thread
From: Michael Shigorin @ 2008-01-19 16:46 UTC (permalink / raw)
To: devel
On Sat, Jan 19, 2008 at 12:05:04AM +0300, QA Team Robot wrote:
> phpMyAdmin - phpMyAdmin - web-based MySQL administration
> * Tue Jan 15 2008 Igor Zubkov <icesik@altlinux> 2.11.4-alt1
> - 2.11.3 -> 2.11.4
> - this is security bug fix release:
> + path disclosure on darkblue_orange/layout.inc.php
Если кто добавляет в %changelog CVE-xxxx-xxxx, то в качестве
бонуса оно будет ссылкой и попадёт в /security (пока можно
заценить на http://alt5.linux.kiev.ua/security) :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-19 16:46 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Michael Shigorin
@ 2008-01-19 18:41 ` Stanislav Ievlev
2008-01-19 19:56 ` Alexey I. Froloff
2008-01-19 20:44 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Dmitry V. Levin
0 siblings, 2 replies; 14+ messages in thread
From: Stanislav Ievlev @ 2008-01-19 18:41 UTC (permalink / raw)
To: ALT Linux Team development discussions
Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
Если не ошибаюсь, так делает последнее время RH.
По крайней мере так принято в cups (и у них и у нас) ;)
On Sat, Jan 19, 2008 at 06:46:27PM +0200, Michael Shigorin wrote:
> On Sat, Jan 19, 2008 at 12:05:04AM +0300, QA Team Robot wrote:
> > phpMyAdmin - phpMyAdmin - web-based MySQL administration
> > * Tue Jan 15 2008 Igor Zubkov <icesik@altlinux> 2.11.4-alt1
> > - 2.11.3 -> 2.11.4
> > - this is security bug fix release:
> > + path disclosure on darkblue_orange/layout.inc.php
>
> Если кто добавляет в %changelog CVE-xxxx-xxxx, то в качестве
> бонуса оно будет ссылкой и попадёт в /security (пока можно
> заценить на http://alt5.linux.kiev.ua/security) :)
>
> --
> ---- WBR, Michael Shigorin <mike@altlinux.ru>
> ------ Linux.Kiev http://www.linux.kiev.ua/
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-19 18:41 ` Stanislav Ievlev
@ 2008-01-19 19:56 ` Alexey I. Froloff
2008-01-19 20:46 ` [devel] CVE in %changelog Dmitry V. Levin
2008-01-19 20:44 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Dmitry V. Levin
1 sibling, 1 reply; 14+ messages in thread
From: Alexey I. Froloff @ 2008-01-19 19:56 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 194 bytes --]
* Stanislav Ievlev <inger@> [080119 21:48]:
> Было бы ещё здорово завести policy, что патчи должен иметь имя
> <package>-CVE-<number>.patch
А что такое "патчи"?
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-19 18:41 ` Stanislav Ievlev
2008-01-19 19:56 ` Alexey I. Froloff
@ 2008-01-19 20:44 ` Dmitry V. Levin
2008-01-19 20:54 ` [devel] CVE in %changelog Avramenko Andrew
2008-01-21 6:38 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Stanislav Ievlev
1 sibling, 2 replies; 14+ messages in thread
From: Dmitry V. Levin @ 2008-01-19 20:44 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 449 bytes --]
On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
> Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
ему следую в тех пакетах, где ещё сохранились патчи.
См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog
2008-01-19 19:56 ` Alexey I. Froloff
@ 2008-01-19 20:46 ` Dmitry V. Levin
2008-01-19 21:04 ` Alexey I. Froloff
0 siblings, 1 reply; 14+ messages in thread
From: Dmitry V. Levin @ 2008-01-19 20:46 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 392 bytes --]
On Sat, Jan 19, 2008 at 10:56:11PM +0300, Alexey I. Froloff wrote:
> * Stanislav Ievlev <inger@> [080119 21:48]:
> > Было бы ещё здорово завести policy, что патчи должен иметь имя
> > <package>-CVE-<number>.patch
> А что такое "патчи"?
Патчи -- это такие файлы, которые можно "применить" утилитой patch(1).
Обычно патчи предметны, т.е. подразумевают объект применения.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog
2008-01-19 20:44 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Dmitry V. Levin
@ 2008-01-19 20:54 ` Avramenko Andrew
2008-01-19 20:58 ` Dmitry V. Levin
2008-01-21 6:38 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Stanislav Ievlev
1 sibling, 1 reply; 14+ messages in thread
From: Avramenko Andrew @ 2008-01-19 20:54 UTC (permalink / raw)
To: ALT Linux Team development discussions
Dmitry V. Levin пишет:
> On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
>> Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
>
> У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
> ему следую в тех пакетах, где ещё сохранились патчи.
> См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
>
> Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
Это дополнение к тому что есть (записи в changelog) или это альтернатива?
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog
2008-01-19 20:54 ` [devel] CVE in %changelog Avramenko Andrew
@ 2008-01-19 20:58 ` Dmitry V. Levin
0 siblings, 0 replies; 14+ messages in thread
From: Dmitry V. Levin @ 2008-01-19 20:58 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 671 bytes --]
On Sat, Jan 19, 2008 at 11:54:20PM +0300, Avramenko Andrew wrote:
> Dmitry V. Levin пишет:
> > On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
> >> Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
> >
> > У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
> > ему следую в тех пакетах, где ещё сохранились патчи.
> > См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
> >
> > Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
>
> Это дополнение к тому что есть (записи в changelog) или это альтернатива?
В дополнение.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog
2008-01-19 20:46 ` [devel] CVE in %changelog Dmitry V. Levin
@ 2008-01-19 21:04 ` Alexey I. Froloff
2008-01-19 21:09 ` Dmitry V. Levin
0 siblings, 1 reply; 14+ messages in thread
From: Alexey I. Froloff @ 2008-01-19 21:04 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 606 bytes --]
* Dmitry V. Levin <ldv@> [080119 23:49]:
> > > Было бы ещё здорово завести policy, что патчи должен иметь имя
> > > <package>-CVE-<number>.patch
> > А что такое "патчи"?
> Патчи -- это такие файлы, которые можно "применить" утилитой patch(1).
> Обычно патчи предметны, т.е. подразумевают объект применения.
Просто не очень понятно что делать, если я буду "применять" такие
файлы утилитой git-apply? Городить для этого левый бранч,
добавлять ещё один diff: в .gear/rules - это всё немного
накладно, если в следующей версии это всё будет переписано новым
upstream...
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog
2008-01-19 21:04 ` Alexey I. Froloff
@ 2008-01-19 21:09 ` Dmitry V. Levin
0 siblings, 0 replies; 14+ messages in thread
From: Dmitry V. Levin @ 2008-01-19 21:09 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 539 bytes --]
On Sun, Jan 20, 2008 at 12:04:01AM +0300, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [080119 23:49]:
> > > > Было бы ещё здорово завести policy, что патчи должен иметь имя
> > > > <package>-CVE-<number>.patch
> > > А что такое "патчи"?
> > Патчи -- это такие файлы, которые можно "применить" утилитой patch(1).
> > Обычно патчи предметны, т.е. подразумевают объект применения.
> Просто не очень понятно что делать, если я буду "применять" такие
> файлы утилитой git-apply?
Делать внятный commit message.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-19 20:44 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Dmitry V. Levin
2008-01-19 20:54 ` [devel] CVE in %changelog Avramenko Andrew
@ 2008-01-21 6:38 ` Stanislav Ievlev
2008-01-21 10:18 ` Kirill A. Shutemov
1 sibling, 1 reply; 14+ messages in thread
From: Stanislav Ievlev @ 2008-01-21 6:38 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Sat, Jan 19, 2008 at 11:44:12PM +0300, Dmitry V. Levin wrote:
> On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
> > Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
>
> У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
> ему следую в тех пакетах, где ещё сохранились патчи.
> См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
>
> Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
Да, кроме того, вовсе не обязательно писать из какого дистрибутива получен
патч ибо это "общая проблема" ;)
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-21 6:38 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Stanislav Ievlev
@ 2008-01-21 10:18 ` Kirill A. Shutemov
2008-01-21 15:28 ` Stanislav Ievlev
0 siblings, 1 reply; 14+ messages in thread
From: Kirill A. Shutemov @ 2008-01-21 10:18 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1222 bytes --]
On [Mon, 21.01.2008 09:38], Stanislav Ievlev wrote:
> On Sat, Jan 19, 2008 at 11:44:12PM +0300, Dmitry V. Levin wrote:
> > On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
> > > Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
> >
> > У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
> > ему следую в тех пакетах, где ещё сохранились патчи.
> > См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
> >
> > Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
> Да, кроме того, вовсе не обязательно писать из какого дистрибутива получен
> патч ибо это "общая проблема" ;)
Решения "общей проблемы" могут быть различными.
--
Regards, Kirill A. Shutemov
+ Belarus, Minsk
+ Velesys Ltd, http://www.velesys.com/
+ ALT Linux Team, http://www.altlinux.com/
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-21 10:18 ` Kirill A. Shutemov
@ 2008-01-21 15:28 ` Stanislav Ievlev
2008-01-21 15:32 ` Kirill A. Shutemov
2008-01-21 17:48 ` [devel] ...и происхождение фиксов (was: CVE in %changelog) Michael Shigorin
0 siblings, 2 replies; 14+ messages in thread
From: Stanislav Ievlev @ 2008-01-21 15:28 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Jan 21, 2008 at 12:18:48PM +0200, Kirill A. Shutemov wrote:
> On [Mon, 21.01.2008 09:38], Stanislav Ievlev wrote:
> > On Sat, Jan 19, 2008 at 11:44:12PM +0300, Dmitry V. Levin wrote:
> > > On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
> > > > Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
> > >
> > > У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
> > > ему следую в тех пакетах, где ещё сохранились патчи.
> > > См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
> > >
> > > Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
> > Да, кроме того, вовсе не обязательно писать из какого дистрибутива получен
> > патч ибо это "общая проблема" ;)
>
> Решения "общей проблемы" могут быть различными.
Патч может распространятся официально от автора продукта или от того кто
обнаружил ошибку. Какой тогда дистрибутив писать?
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575))
2008-01-21 15:28 ` Stanislav Ievlev
@ 2008-01-21 15:32 ` Kirill A. Shutemov
2008-01-21 17:48 ` [devel] ...и происхождение фиксов (was: CVE in %changelog) Michael Shigorin
1 sibling, 0 replies; 14+ messages in thread
From: Kirill A. Shutemov @ 2008-01-21 15:32 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1655 bytes --]
On [Mon, 21.01.2008 18:28], Stanislav Ievlev wrote:
> On Mon, Jan 21, 2008 at 12:18:48PM +0200, Kirill A. Shutemov wrote:
> > On [Mon, 21.01.2008 09:38], Stanislav Ievlev wrote:
> > > On Sat, Jan 19, 2008 at 11:44:12PM +0300, Dmitry V. Levin wrote:
> > > > On Sat, Jan 19, 2008 at 09:41:56PM +0300, Stanislav Ievlev wrote:
> > > > > Было бы ещё здорово завести policy, что патчи должен иметь имя <package>-CVE-<number>.patch
> > > >
> > > > У нас есть policy на патчи, позаимствованное из Owl, и я до сих пор
> > > > ему следую в тех пакетах, где ещё сохранились патчи.
> > > > См. "Наименование патчей" в Sisyphus/doc/alt-packaging/conventions.tex
> > > >
> > > > Суть предложения, видимо, в том, чтобы включать "CVE-номер" в имя патча.
> > > Да, кроме того, вовсе не обязательно писать из какого дистрибутива получен
> > > патч ибо это "общая проблема" ;)
> >
> > Решения "общей проблемы" могут быть различными.
> Патч может распространятся официально от автора продукта или от того кто
> обнаружил ошибку. Какой тогда дистрибутив писать?
upstream (up) ?
--
Regards, Kirill A. Shutemov
+ Belarus, Minsk
+ Velesys Ltd, http://www.velesys.com/
+ ALT Linux Team, http://www.altlinux.com/
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* [devel] ...и происхождение фиксов (was: CVE in %changelog)
2008-01-21 15:28 ` Stanislav Ievlev
2008-01-21 15:32 ` Kirill A. Shutemov
@ 2008-01-21 17:48 ` Michael Shigorin
1 sibling, 0 replies; 14+ messages in thread
From: Michael Shigorin @ 2008-01-21 17:48 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Jan 21, 2008 at 06:28:22PM +0300, Stanislav Ievlev wrote:
> > > > Суть предложения, видимо, в том, чтобы включать
> > > > "CVE-номер" в имя патча.
> > > Да, кроме того, вовсе не обязательно писать из какого
> > > дистрибутива получен патч ибо это "общая проблема" ;)
Я обычно (но не всегда) стараюсь писать -- ближе к "обязательно",
если известно, что конкретный участник какой-либо команды
приложил усилия к созданию/портированию/проверке/доработке
исправления.
> > Решения "общей проблемы" могут быть различными.
> Патч может распространятся официально от автора продукта или от
> того кто обнаружил ошибку. Какой тогда дистрибутив писать?
В любом случае я стараюсь следовать правилу credit where credit
is due, упоминая источник патча по крайней мере в %changelog,
если и не переименовываю файл.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2008-01-21 17:48 UTC | newest]
Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-01-19 16:46 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Michael Shigorin
2008-01-19 18:41 ` Stanislav Ievlev
2008-01-19 19:56 ` Alexey I. Froloff
2008-01-19 20:46 ` [devel] CVE in %changelog Dmitry V. Levin
2008-01-19 21:04 ` Alexey I. Froloff
2008-01-19 21:09 ` Dmitry V. Levin
2008-01-19 20:44 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Dmitry V. Levin
2008-01-19 20:54 ` [devel] CVE in %changelog Avramenko Andrew
2008-01-19 20:58 ` Dmitry V. Levin
2008-01-21 6:38 ` [devel] CVE in %changelog (was: [cyber] I: Sisyphus-4.0-branch packages: +1! -2 +5 (6575)) Stanislav Ievlev
2008-01-21 10:18 ` Kirill A. Shutemov
2008-01-21 15:28 ` Stanislav Ievlev
2008-01-21 15:32 ` Kirill A. Shutemov
2008-01-21 17:48 ` [devel] ...и происхождение фиксов (was: CVE in %changelog) Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git