* [devel] Vulnerability policy @ 2017-02-21 17:29 lineprinter 2017-02-21 17:49 ` Anton Farygin 2017-02-28 17:06 ` lineprinter 0 siblings, 2 replies; 24+ messages in thread From: lineprinter @ 2017-02-21 17:29 UTC (permalink / raw) To: devel Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy для security-tracker'а, которого еще нет. Предлагаю обсудить. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 17:29 [devel] Vulnerability policy lineprinter @ 2017-02-21 17:49 ` Anton Farygin 2017-02-21 18:33 ` Michael Shigorin ` (2 more replies) 2017-02-28 17:06 ` lineprinter 1 sibling, 3 replies; 24+ messages in thread From: Anton Farygin @ 2017-02-21 17:49 UTC (permalink / raw) To: devel 21.02.2017 20:29, lineprinter пишет: > Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy > для security-tracker'а, которого еще нет. Предлагаю обсудить. Странно общаться в devel с принтером, пусть он даже line и очень быстр. Предлагаю начать обсуждение с этого ;) И да, т.к. CVE бывает исправлено много или очень много, то как мне кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек. А для начала неплохо было бы посмотреть что там обычно пишут на эту тему ментейнеры в ченжлогах, и как это выгребается в https://packages.altlinux.org/en/Sisyphus/security ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 17:49 ` Anton Farygin @ 2017-02-21 18:33 ` Michael Shigorin 2017-02-21 18:44 ` Dmitry V. Levin 2017-02-21 19:09 ` Dmitry Derjavin 2017-02-28 17:04 ` lineprinter 2 siblings, 1 reply; 24+ messages in thread From: Michael Shigorin @ 2017-02-21 18:33 UTC (permalink / raw) To: devel On Tue, Feb 21, 2017 at 08:49:27PM +0300, Anton Farygin wrote: > И да, т.к. CVE бывает исправлено много или очень много, то как мне > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек. Соглашусь: http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelog -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 18:33 ` Michael Shigorin @ 2017-02-21 18:44 ` Dmitry V. Levin 2017-02-21 19:02 ` Anton Farygin 2017-02-22 7:31 ` Sergey V Turchin 0 siblings, 2 replies; 24+ messages in thread From: Dmitry V. Levin @ 2017-02-21 18:44 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 964 bytes --] On Tue, Feb 21, 2017 at 09:33:12PM +0300, Michael Shigorin wrote: > On Tue, Feb 21, 2017 at 08:49:27PM +0300, Anton Farygin wrote: > > И да, т.к. CVE бывает исправлено много или очень много, то как мне > > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек. > > Соглашусь: > http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelog Я бы предпочёл, чтобы вместо - new version - security fixes: CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, CVE-2016-7865 в %changelog пакета adobe-flash-player было написано - new version (fixes: CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, CVE-2016-7865) Но если кому-то существенно удобнее записывать это как-то иначе и без скобочек, то, наверное, это можно формализовать и включить в правила. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 801 bytes --] ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 18:44 ` Dmitry V. Levin @ 2017-02-21 19:02 ` Anton Farygin 2017-02-21 19:32 ` Michael Shigorin 2017-02-21 19:34 ` Alexey Gladkov 2017-02-22 7:31 ` Sergey V Turchin 1 sibling, 2 replies; 24+ messages in thread From: Anton Farygin @ 2017-02-21 19:02 UTC (permalink / raw) To: devel 21.02.2017 21:44, Dmitry V. Levin пишет: > Но если кому-то существенно удобнее записывать это как-то иначе и без > скобочек, то, наверное, это можно формализовать и включить в правила. Мне в последнее время нравится такая трактовка, предпочёл бы её, когда есть время всё это описывать: - Fixed: + CVE-2017-5375: Excessive JIT code allocation allows bypass of ASLR and DEP + CVE-2017-5376: Use-after-free in XSL + CVE-2017-5377: Memory corruption with transforms to create gradients in Skia + CVE-2017-5378: Pointer and frame data leakage of Javascript objects + CVE-2017-5379: Use-after-free in Web Animations + CVE-2017-5380: Potential use-after-free during DOM manipulations + CVE-2017-5390: Insecure communication methods in Developer Tools JSON viewer + CVE-2017-5389: WebExtensions can install additional add-ons via modified host requests + CVE-2017-5396: Use-after-free with Media Decoder + CVE-2017-5381: Certificate Viewer exporting can be used to navigate and save to arbitrary filesystem locations + CVE-2017-5382: Feed preview can expose privileged content errors and exceptions + CVE-2017-5383: Location bar spoofing with unicode characters + CVE-2017-5384: Information disclosure via Proxy Auto-Config (PAC) + CVE-2017-5385: Data sent in multipart channels ignores referrer-policy response headers + CVE-2017-5386: WebExtensions can use data: protocol to affect other extensions + CVE-2017-5394: Android location bar spoofing using fullscreen and JavaScript events + CVE-2017-5391: Content about: pages can load privileged about: pages + CVE-2017-5392: Weak references using multiple threads on weak proxy objects lead to unsafe memory usage + CVE-2017-5393: Remove addons.mozilla.org CDN from whitelist for mozAddonManager + CVE-2017-5395: Android location bar spoofing during scrolling + CVE-2017-5387: Disclosure of local file existence through TRACK tag error messages + CVE-2017-5388: WebRTC can be used to generate a large amount of UDP traffic for DDOS attacks + CVE-2017-5374: Memory safety bugs fixed in Firefox 51 + CVE-2017-5373: Memory safety bugs fixed in Firefox 51 and Firefox ESR 45.7 ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 19:02 ` Anton Farygin @ 2017-02-21 19:32 ` Michael Shigorin 2017-02-21 19:34 ` Alexey Gladkov 1 sibling, 0 replies; 24+ messages in thread From: Michael Shigorin @ 2017-02-21 19:32 UTC (permalink / raw) To: devel On Tue, Feb 21, 2017 at 10:02:57PM +0300, Anton Farygin wrote: > Мне в последнее время нравится такая трактовка, предпочёл бы > её, когда есть время всё это описывать: > > - Fixed: > + CVE-2017-5375: Excessive JIT code allocation allows bypass of ASLR and DEP > + CVE-2017-5376: Use-after-free in XSL Кстати, и впрямь ведь есть не только CVE, а трансляцию между различными агрегаторами явно лучше поручить коду, не людям. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 19:02 ` Anton Farygin 2017-02-21 19:32 ` Michael Shigorin @ 2017-02-21 19:34 ` Alexey Gladkov 1 sibling, 0 replies; 24+ messages in thread From: Alexey Gladkov @ 2017-02-21 19:34 UTC (permalink / raw) To: ALT Linux Team development discussions On Tue, Feb 21, 2017 at 10:02:57PM +0300, Anton Farygin wrote: > 21.02.2017 21:44, Dmitry V. Levin пишет: > > Но если кому-то существенно удобнее записывать это как-то иначе и без > > скобочек, то, наверное, это можно формализовать и включить в правила. > > Мне в последнее время нравится такая трактовка, предпочёл бы её, когда > есть время всё это описывать: elinks -dump-width 2000 "https://www.mozilla.org/en-US/security/advisories/mfsa2017-01/" | grep '\]#CVE-' | sed -e 's,^.*#, + ,' :) > - Fixed: > + CVE-2017-5375: Excessive JIT code allocation allows bypass of ASLR and DEP > + CVE-2017-5376: Use-after-free in XSL > + CVE-2017-5377: Memory corruption with transforms to create gradients > in Skia > + CVE-2017-5378: Pointer and frame data leakage of Javascript objects > + CVE-2017-5379: Use-after-free in Web Animations > + CVE-2017-5380: Potential use-after-free during DOM manipulations > + CVE-2017-5390: Insecure communication methods in Developer Tools JSON > viewer > + CVE-2017-5389: WebExtensions can install additional add-ons via > modified host requests > + CVE-2017-5396: Use-after-free with Media Decoder > + CVE-2017-5381: Certificate Viewer exporting can be used to navigate > and save to arbitrary filesystem locations > + CVE-2017-5382: Feed preview can expose privileged content errors and > exceptions > + CVE-2017-5383: Location bar spoofing with unicode characters > + CVE-2017-5384: Information disclosure via Proxy Auto-Config (PAC) > + CVE-2017-5385: Data sent in multipart channels ignores referrer-policy > response headers > + CVE-2017-5386: WebExtensions can use data: protocol to affect other > extensions > + CVE-2017-5394: Android location bar spoofing using fullscreen and > JavaScript events > + CVE-2017-5391: Content about: pages can load privileged about: pages > + CVE-2017-5392: Weak references using multiple threads on weak proxy > objects lead to unsafe memory usage > + CVE-2017-5393: Remove addons.mozilla.org CDN from whitelist for > mozAddonManager > + CVE-2017-5395: Android location bar spoofing during scrolling > + CVE-2017-5387: Disclosure of local file existence through TRACK tag > error messages > + CVE-2017-5388: WebRTC can be used to generate a large amount of UDP > traffic for DDOS attacks > + CVE-2017-5374: Memory safety bugs fixed in Firefox 51 > + CVE-2017-5373: Memory safety bugs fixed in Firefox 51 and Firefox ESR 45.7 > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel -- Rgrds, legion ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 18:44 ` Dmitry V. Levin 2017-02-21 19:02 ` Anton Farygin @ 2017-02-22 7:31 ` Sergey V Turchin 2017-02-22 7:34 ` Michael Shigorin 1 sibling, 1 reply; 24+ messages in thread From: Sergey V Turchin @ 2017-02-22 7:31 UTC (permalink / raw) To: ALT Devel discussion list On Tuesday, 21 February 2017 21:44:33 MSK Dmitry V wrote: > On Tue, Feb 21, 2017 at 09:33:12PM +0300, Michael Shigorin wrote: > > On Tue, Feb 21, 2017 at 08:49:27PM +0300, Anton Farygin wrote: > > > И да, т.к. CVE бывает исправлено много или очень много, то как мне > > > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек. > > > > Соглашусь: > > http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelo > > g > > Я бы предпочёл, чтобы вместо > > - new version > - security fixes: > CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, > CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, > CVE-2016-7865 > > в %changelog пакета adobe-flash-player было написано Конкретно в этом случае мне абсолютно без разницы, что писать по обе стороны такого перечисления CVE. [...] -- Regards, Sergey. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-22 7:31 ` Sergey V Turchin @ 2017-02-22 7:34 ` Michael Shigorin 0 siblings, 0 replies; 24+ messages in thread From: Michael Shigorin @ 2017-02-22 7:34 UTC (permalink / raw) To: devel On Wed, Feb 22, 2017 at 10:31:06AM +0300, Sergey V Turchin wrote: > > > > И да, т.к. CVE бывает исправлено много или очень много, то как мне > > > > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек. > > > Соглашусь: > > > http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelog > > Я бы предпочёл, чтобы вместо > > > > - new version > > - security fixes: > > CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, > > CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864, > > CVE-2016-7865 > > > > в %changelog пакета adobe-flash-player было написано > Конкретно в этом случае мне абсолютно без разницы, что писать > по обе стороны такого перечисления CVE. Это, кстати, ещё и про то, подхватится ли уже существующая информация из предыдущих сборок; я бы, если и хотел "иначе", постарался разбирать и то, как уже есть. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 17:49 ` Anton Farygin 2017-02-21 18:33 ` Michael Shigorin @ 2017-02-21 19:09 ` Dmitry Derjavin 2017-02-22 10:07 ` Igor Zubkov 2017-02-28 17:04 ` lineprinter 2 siblings, 1 reply; 24+ messages in thread From: Dmitry Derjavin @ 2017-02-21 19:09 UTC (permalink / raw) To: devel Вт, 21 фев 2017, 20:49, Anton Farygin: > 21.02.2017 20:29, lineprinter пишет: >> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy >> для security-tracker'а, которого еще нет. Предлагаю обсудить. > > Странно общаться в devel с принтером, пусть он даже line и очень быстр. > Предлагаю начать обсуждение с этого ;) Поддерживаю. Тема обсуждения, кстати, намекает на более ответственное отношение к идентификации. По теме: чем «security-tracker, которого еще нет» будет отличаться от того, который уже есть? > https://packages.altlinux.org/en/Sisyphus/security Или это не security-tracker? -- ~dd ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 19:09 ` Dmitry Derjavin @ 2017-02-22 10:07 ` Igor Zubkov 2017-02-22 11:20 ` Andrew Clark 0 siblings, 1 reply; 24+ messages in thread From: Igor Zubkov @ 2017-02-22 10:07 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-02-21 21:09 GMT+02:00 Dmitry Derjavin: > Вт, 21 фев 2017, 20:49, Anton Farygin: > >> 21.02.2017 20:29, lineprinter пишет: >>> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy >>> для security-tracker'а, которого еще нет. Предлагаю обсудить. >> >> Странно общаться в devel с принтером, пусть он даже line и очень быстр. >> Предлагаю начать обсуждение с этого ;) > > Поддерживаю. Тема обсуждения, кстати, намекает на более ответственное > отношение к идентификации. > > По теме: чем «security-tracker, которого еще нет» будет отличаться от > того, который уже есть? > >> https://packages.altlinux.org/en/Sisyphus/security > > Или это не security-tracker? Это не security, это не tracker, это просто позорная выборка из базы которая сильно тормозит. На ней даже нет RSS. /security лучше убрать с сайта и не позорится, чем что-то делать. Правильный security tracker должен что делать: 1. Выгребать из записей %changelog все упоминания по поводу CVE и таких же индентификаторов от самих разработчиков. Как пример, phpMyAdmin. У них используется своя система трекания дыр и они нумерую их как PMASA. У руби сообщества есть ruby-advisory-db. 2. Импортировать с http://www.cve.mitre.org список всех CVE. 3. Импортировать с других мест данные о проблемах с безопасностью. Тот же PMASA. 4. Линковать релиз пакета с списком проблем которые были исправлены в релизе с CVE и иже с ним. 5. Дальше можно показывать сырой список того что было найдено в %changelog пакетов 6. Можно и нужно, наверно, менеджить список того что над залетело из каталога CVE (и других). Как пример, есть проблемы которым наше ядро может быть не подвержено в силу того что оно было собрано не так. 7. Можно на основе этой информации писать Security Advisories и слать из в security@ почтовую рассылку. 8. Иметь статистику что исправлено, а что нет. По бранчам как пример. Я знаю сколько на разработку этого надо времени, только не знаю кто заплатит за этот банкет. :) -- Igor Zubkov http://hi.im/ice ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-22 10:07 ` Igor Zubkov @ 2017-02-22 11:20 ` Andrew Clark 0 siblings, 0 replies; 24+ messages in thread From: Andrew Clark @ 2017-02-22 11:20 UTC (permalink / raw) To: ALT Linux Team development discussions 22 февраля 2017 г., 13:07 пользователь Igor Zubkov <igor.zubkov@gmail.com> написал: > Я знаю сколько на разработку этого надо времени, только не знаю кто > заплатит за этот банкет. :) "Денег сейчас нет... Вы держитесь здесь, Вам всего доброго, хорошего настроения и здоровья" [c] жалкий -- Talk is cheap, show me the code (c) Linus Torvalds ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 17:49 ` Anton Farygin 2017-02-21 18:33 ` Michael Shigorin 2017-02-21 19:09 ` Dmitry Derjavin @ 2017-02-28 17:04 ` lineprinter 2017-03-06 17:08 ` Anton Farygin 2 siblings, 1 reply; 24+ messages in thread From: lineprinter @ 2017-02-28 17:04 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-02-21 20:49 GMT+03:00 Anton Farygin <rider@altlinux.com>: > И да, т.к. CVE бывает исправлено много или очень много, то как мне кажется, > достаточно просто указания CVE-xxxx-xxxxx без скобочек. Недостаточно, потому что идентификатор уязвимости иногда указывается не только в контексте её исправления. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:04 ` lineprinter @ 2017-03-06 17:08 ` Anton Farygin 0 siblings, 0 replies; 24+ messages in thread From: Anton Farygin @ 2017-03-06 17:08 UTC (permalink / raw) To: devel 28.02.2017 20:04, lineprinter пишет: > 2017-02-21 20:49 GMT+03:00 Anton Farygin <rider@altlinux.com>: >> И да, т.к. CVE бывает исправлено много или очень много, то как мне кажется, >> достаточно просто указания CVE-xxxx-xxxxx без скобочек. > > Недостаточно, потому что идентификатор уязвимости иногда указывается > не только в контексте её исправления. Есть такие примеры ? ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-21 17:29 [devel] Vulnerability policy lineprinter 2017-02-21 17:49 ` Anton Farygin @ 2017-02-28 17:06 ` lineprinter 2017-02-28 17:39 ` Alexey Tourbin ` (3 more replies) 1 sibling, 4 replies; 24+ messages in thread From: lineprinter @ 2017-02-28 17:06 UTC (permalink / raw) To: ALT Linux Team development discussions По результатам обсуждения страница https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим предлагаю прокомментировать. 2017-02-21 20:29 GMT+03:00 lineprinter <lineprinter@altlinux.org>: > Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy > для security-tracker'а, которого еще нет. Предлагаю обсудить. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:06 ` lineprinter @ 2017-02-28 17:39 ` Alexey Tourbin 2017-02-28 17:51 ` Евгений Терешков 2017-03-02 6:57 ` [devel] Vulnerability policy Alexey Tourbin ` (2 subsequent siblings) 3 siblings, 1 reply; 24+ messages in thread From: Alexey Tourbin @ 2017-02-28 17:39 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter@altlinux.org>: > По результатам обсуждения страница > https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим > предлагаю прокомментировать. Пожалуйста. Во-первых, %changelog есть не место для дискуссий, то есть озабоченность одних людей не должна передаваться другим. Сборка новой версии пакета для мейнтейнера - достаточное условие, чтобы забыть обо всяких уязвимостях в прежних версиях пакета. Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак не проработана. Процесс может болтаться со старой разделяемой библиотекой, которая давно уже стерта в фс, до пришествия Христа. Проблема решается только полной перезагрузкой. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:39 ` Alexey Tourbin @ 2017-02-28 17:51 ` Евгений Терешков 2017-02-28 18:12 ` Alexey Tourbin 0 siblings, 1 reply; 24+ messages in thread From: Евгений Терешков @ 2017-02-28 17:51 UTC (permalink / raw) To: ALT Linux Team development discussions Alexey Tourbin пишет: > Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак > не проработана. Процесс может болтаться со старой разделяемой > библиотекой, которая давно уже стерта в фс, до пришествия Христа. > Проблема решается только полной перезагрузкой. Не совсем так. См. пакет needrestart. Ничего не мешает автоматически перезапускать затрагиваемые сервисы, почти что любые, было бы желание. -- С уважением, Терешков Евгений. Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:51 ` Евгений Терешков @ 2017-02-28 18:12 ` Alexey Tourbin 2017-03-04 1:03 ` [devel] needrestart (was: Vulnerability policy) Dmitry V. Levin 0 siblings, 1 reply; 24+ messages in thread From: Alexey Tourbin @ 2017-02-28 18:12 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-02-28 20:51 GMT+03:00 Евгений Терешков <evg-krsk@yandex.ru>: > Alexey Tourbin пишет: > >> Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак >> не проработана. Процесс может болтаться со старой разделяемой >> библиотекой, которая давно уже стерта в фс, до пришествия Христа. >> Проблема решается только полной перезагрузкой. > > Не совсем так. См. пакет needrestart. Ничего не мешает автоматически > перезапускать затрагиваемые сервисы, почти что любые, было бы желание. При обновлении системных библиотек, насколько я знаю, сервисы в связи с этим штатно никак перезапустить нельзя. Нету такого штатного механизма, чтобы вследствие rename() в /lib64 какой-то сервис в добровольно-принудительном порядке сделал exec("/proc/self/exe"). Это приводит меня к мысли, что подписчик или подписчица, которая поставила вопросы в начальном письме, она их не обдумала. Потому что никакого нормального исхода из этих вопросов нету. :-( ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] needrestart (was: Vulnerability policy) 2017-02-28 18:12 ` Alexey Tourbin @ 2017-03-04 1:03 ` Dmitry V. Levin 0 siblings, 0 replies; 24+ messages in thread From: Dmitry V. Levin @ 2017-03-04 1:03 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 1374 bytes --] Меняю тему на needrestart, поскольку Vulnerability policy тут уже не при чём. On Tue, Feb 28, 2017 at 09:12:04PM +0300, Alexey Tourbin wrote: > 2017-02-28 20:51 GMT+03:00 Евгений Терешков <evg-krsk@yandex.ru>: > > Alexey Tourbin пишет: > > > >> Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак > >> не проработана. Процесс может болтаться со старой разделяемой > >> библиотекой, которая давно уже стерта в фс, до пришествия Христа. > >> Проблема решается только полной перезагрузкой. > > > > Не совсем так. См. пакет needrestart. Ничего не мешает автоматически > > перезапускать затрагиваемые сервисы, почти что любые, было бы желание. > > При обновлении системных библиотек, насколько я знаю, сервисы в связи > с этим штатно никак перезапустить нельзя. Нету такого штатного > механизма, чтобы вследствие rename() в /lib64 какой-то сервис в > добровольно-принудительном порядке сделал exec("/proc/self/exe"). Цитата из https://github.com/liske/needrestart: "needrestart checks which daemons need to be restarted after library upgrades" Вполне традиционный подход, он ещё и до systemd работал, когда вполне надёжного способа определить, какому сервису принадлежит данный pid, ещё не было. Если файл библиотеки переименовался и не удалился в результате обновления, то это результат какого-то жульничества. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 801 bytes --] ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:06 ` lineprinter 2017-02-28 17:39 ` Alexey Tourbin @ 2017-03-02 6:57 ` Alexey Tourbin 2017-03-03 5:35 ` Alexey Tourbin 2017-05-02 15:31 ` Dmitry V. Levin 3 siblings, 0 replies; 24+ messages in thread From: Alexey Tourbin @ 2017-03-02 6:57 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter@altlinux.org>: > По результатам обсуждения страница > https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим > предлагаю прокомментировать. Полагаться на %changelog - плохая идея. В моей практике знаете какой был случай? Один пациент прислал мне пакет postgesql.src.rpm с исправлением уязвимости, чтобы я собрал его в updates. (Было это в 2003 году, тогда еще не было бранчей, а были updates для дистрибутивов.) И вот я из любопытства просматриваю этот пакет, строчка Patch: там есть, а соответствующей строчки %patch - нету. Я пациенту пишу: патч не прикладывается. Он: то есть как это не прикладывается? То есть совсем не прикладывается. Языковая двусмысленность такая немного смешная. Полагаться на исправленную версию - несколько лучше. Поскольку облажаться пациенту в этом случае сложнее. Проблема только в том, что опережающая версия иногда используется для сборки пререлизов (такие сборки часто получают релиз alt0.1 и т.д.) Поэтому в плане версий можно выделить три случая: - версия > succ(v) - уязвимость исправлена (где v - уязвимая версия). - версия = succ(v) - пограничный случай, смотрим на релиз alt0*. - версия = v - скорее всего не исправлена, если нет упоминания в %changelog. Но это только если бы версии последовательно нумеровались. Если, например, уязвимы версии вплоть до 3.3, а в сизифе имеется 4.0-alt-0.1, то сказать что либо сложно. Кроме того, релизы alt0* перегружены: они также используются для бекпортов в бранчи. Вообще, если ставить дело на серьезную ногу, то вся это эвристика не годится, а играют роль только два критерия: 1) текстовое совпадение в коде (а именно, сделать rpm -bp и дальше смотреть, прикладывается ли патч или наоборот patch -R); 2) воспроизводимость уязвимости. Нужно уметь воспроизвести уязвимость в уязвимой версии и показать, что уязвимость больше не воспроизводится в исправленной версии. Это самое тяжелое, и это конечно надо стараться как-то автоматизировать. Я в свое время несколько пакетов так исправил. Потом мне это надоело до чертиков. Там еще было очень много имитационной деятельности. То есть нужно было писать анонс: "обнаружена уязвимость, потенциальный злоумышленник может вас задрать" и там еще ссылки надо было вставлять на скачивание rpm-пакетов. Ну в общем подражание Ред Хату при отсутствии редхатовских клиентов и бюджетов - маразм в чистом виде. Дались они вам эти уязвимости. Мой опыт показывает, что сколько их не исправляй, они тут же новые вскакивают. Как говорил Иисус Христос, сборка обновлений - это суета и томление духа. Советую вам лучше что-нибудь выпить. В Пятерочке сейчас продается Rauli Chardonnay 2015 за 300 с небольшим рублей. По-моему, ничего. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:06 ` lineprinter 2017-02-28 17:39 ` Alexey Tourbin 2017-03-02 6:57 ` [devel] Vulnerability policy Alexey Tourbin @ 2017-03-03 5:35 ` Alexey Tourbin 2017-03-03 15:00 ` Sergey Afonin 2017-05-02 15:31 ` Dmitry V. Levin 3 siblings, 1 reply; 24+ messages in thread From: Alexey Tourbin @ 2017-03-03 5:35 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter@altlinux.org>: > По результатам обсуждения страница > https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим > предлагаю прокомментировать. Уважаемый мужчина или женщина! Вы удостоились ответа, который сейчас обсуждается на фейсбуке людьми намного старше вас. Будет архистранно, если вы не захотите что-нибудь ответить. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-03-03 5:35 ` Alexey Tourbin @ 2017-03-03 15:00 ` Sergey Afonin 2017-03-03 15:06 ` Alexey Tourbin 0 siblings, 1 reply; 24+ messages in thread From: Sergey Afonin @ 2017-03-03 15:00 UTC (permalink / raw) To: ALT Linux Team development discussions On Friday 03 March 2017, Alexey Tourbin wrote: > обсуждается на фейсбуке Ничего личного, но я бы не пошёл. А, если что, как это всё искать потом в фесбуковском мусоре ? -- С уважением, Сергей Афонин. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-03-03 15:00 ` Sergey Afonin @ 2017-03-03 15:06 ` Alexey Tourbin 0 siblings, 0 replies; 24+ messages in thread From: Alexey Tourbin @ 2017-03-03 15:06 UTC (permalink / raw) To: ALT Linux Team development discussions 2017-03-03 18:00 GMT+03:00 Sergey Afonin <asy@altlinux.ru>: > On Friday 03 March 2017, Alexey Tourbin wrote: > >> обсуждается на фейсбуке > > Ничего личного, но я бы не пошёл. А, если что, как > это всё искать потом в фесбуковском мусоре ? You put more to in than there it is. There is only a mild urge to the young lady to continue the discussion. ^ permalink raw reply [flat|nested] 24+ messages in thread
* Re: [devel] Vulnerability policy 2017-02-28 17:06 ` lineprinter ` (2 preceding siblings ...) 2017-03-03 5:35 ` Alexey Tourbin @ 2017-05-02 15:31 ` Dmitry V. Levin 3 siblings, 0 replies; 24+ messages in thread From: Dmitry V. Levin @ 2017-05-02 15:31 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 507 bytes --] On Tue, Feb 28, 2017 at 08:06:06PM +0300, lineprinter wrote: > По результатам обсуждения страница > https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим > предлагаю прокомментировать. Поскольку возражений не поступило, будем считать эти правила принятыми. > 2017-02-21 20:29 GMT+03:00 lineprinter <lineprinter@altlinux.org>: > > Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy > > для security-tracker'а, которого еще нет. Предлагаю обсудить. -- ldv [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 801 bytes --] ^ permalink raw reply [flat|nested] 24+ messages in thread
end of thread, other threads:[~2017-05-02 15:31 UTC | newest] Thread overview: 24+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2017-02-21 17:29 [devel] Vulnerability policy lineprinter 2017-02-21 17:49 ` Anton Farygin 2017-02-21 18:33 ` Michael Shigorin 2017-02-21 18:44 ` Dmitry V. Levin 2017-02-21 19:02 ` Anton Farygin 2017-02-21 19:32 ` Michael Shigorin 2017-02-21 19:34 ` Alexey Gladkov 2017-02-22 7:31 ` Sergey V Turchin 2017-02-22 7:34 ` Michael Shigorin 2017-02-21 19:09 ` Dmitry Derjavin 2017-02-22 10:07 ` Igor Zubkov 2017-02-22 11:20 ` Andrew Clark 2017-02-28 17:04 ` lineprinter 2017-03-06 17:08 ` Anton Farygin 2017-02-28 17:06 ` lineprinter 2017-02-28 17:39 ` Alexey Tourbin 2017-02-28 17:51 ` Евгений Терешков 2017-02-28 18:12 ` Alexey Tourbin 2017-03-04 1:03 ` [devel] needrestart (was: Vulnerability policy) Dmitry V. Levin 2017-03-02 6:57 ` [devel] Vulnerability policy Alexey Tourbin 2017-03-03 5:35 ` Alexey Tourbin 2017-03-03 15:00 ` Sergey Afonin 2017-03-03 15:06 ` Alexey Tourbin 2017-05-02 15:31 ` Dmitry V. Levin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git