ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Vulnerability policy
@ 2017-02-21 17:29 lineprinter
  2017-02-21 17:49 ` Anton Farygin
  2017-02-28 17:06 ` lineprinter
  0 siblings, 2 replies; 24+ messages in thread
From: lineprinter @ 2017-02-21 17:29 UTC (permalink / raw)
  To: devel

Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
для security-tracker'а, которого еще нет. Предлагаю обсудить.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 17:29 [devel] Vulnerability policy lineprinter
@ 2017-02-21 17:49 ` Anton Farygin
  2017-02-21 18:33   ` Michael Shigorin
                     ` (2 more replies)
  2017-02-28 17:06 ` lineprinter
  1 sibling, 3 replies; 24+ messages in thread
From: Anton Farygin @ 2017-02-21 17:49 UTC (permalink / raw)
  To: devel

21.02.2017 20:29, lineprinter пишет:
> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
> для security-tracker'а, которого еще нет. Предлагаю обсудить.

Странно общаться в devel с принтером, пусть он даже line и очень быстр.
Предлагаю начать обсуждение с этого ;)

И да, т.к. CVE бывает исправлено много или очень много, то как мне 
кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек. А для 
начала неплохо было бы посмотреть что там обычно пишут на эту тему 
ментейнеры в ченжлогах, и как это выгребается в 
https://packages.altlinux.org/en/Sisyphus/security




^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 17:49 ` Anton Farygin
@ 2017-02-21 18:33   ` Michael Shigorin
  2017-02-21 18:44     ` Dmitry V. Levin
  2017-02-21 19:09   ` Dmitry Derjavin
  2017-02-28 17:04   ` lineprinter
  2 siblings, 1 reply; 24+ messages in thread
From: Michael Shigorin @ 2017-02-21 18:33 UTC (permalink / raw)
  To: devel

On Tue, Feb 21, 2017 at 08:49:27PM +0300, Anton Farygin wrote:
> И да, т.к. CVE бывает исправлено много или очень много, то как мне 
> кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек.

Соглашусь:
http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelog

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 18:33   ` Michael Shigorin
@ 2017-02-21 18:44     ` Dmitry V. Levin
  2017-02-21 19:02       ` Anton Farygin
  2017-02-22  7:31       ` Sergey V Turchin
  0 siblings, 2 replies; 24+ messages in thread
From: Dmitry V. Levin @ 2017-02-21 18:44 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 964 bytes --]

On Tue, Feb 21, 2017 at 09:33:12PM +0300, Michael Shigorin wrote:
> On Tue, Feb 21, 2017 at 08:49:27PM +0300, Anton Farygin wrote:
> > И да, т.к. CVE бывает исправлено много или очень много, то как мне 
> > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек.
> 
> Соглашусь:
> http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelog

Я бы предпочёл, чтобы вместо

- new version
- security fixes:
  CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860,
  CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864,
  CVE-2016-7865

в %changelog пакета adobe-flash-player было написано

- new version (fixes: CVE-2016-7857, CVE-2016-7858, CVE-2016-7859,
  CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863,
  CVE-2016-7864, CVE-2016-7865)

Но если кому-то существенно удобнее записывать это как-то иначе и без
скобочек, то, наверное, это можно формализовать и включить в правила.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 18:44     ` Dmitry V. Levin
@ 2017-02-21 19:02       ` Anton Farygin
  2017-02-21 19:32         ` Michael Shigorin
  2017-02-21 19:34         ` Alexey Gladkov
  2017-02-22  7:31       ` Sergey V Turchin
  1 sibling, 2 replies; 24+ messages in thread
From: Anton Farygin @ 2017-02-21 19:02 UTC (permalink / raw)
  To: devel

21.02.2017 21:44, Dmitry V. Levin пишет:
> Но если кому-то существенно удобнее записывать это как-то иначе и без
> скобочек, то, наверное, это можно формализовать и включить в правила.

Мне в последнее время нравится такая трактовка, предпочёл бы её, когда 
есть время всё это описывать:

- Fixed:
+ CVE-2017-5375: Excessive JIT code allocation allows bypass of ASLR and DEP
+ CVE-2017-5376: Use-after-free in XSL
+ CVE-2017-5377: Memory corruption with transforms to create gradients 
in Skia
+ CVE-2017-5378: Pointer and frame data leakage of Javascript objects
+ CVE-2017-5379: Use-after-free in Web Animations
+ CVE-2017-5380: Potential use-after-free during DOM manipulations
+ CVE-2017-5390: Insecure communication methods in Developer Tools JSON 
viewer
+ CVE-2017-5389: WebExtensions can install additional add-ons via 
modified host requests
+ CVE-2017-5396: Use-after-free with Media Decoder
+ CVE-2017-5381: Certificate Viewer exporting can be used to navigate 
and save to arbitrary filesystem locations
+ CVE-2017-5382: Feed preview can expose privileged content errors and 
exceptions
+ CVE-2017-5383: Location bar spoofing with unicode characters
+ CVE-2017-5384: Information disclosure via Proxy Auto-Config (PAC)
+ CVE-2017-5385: Data sent in multipart channels ignores referrer-policy 
response headers
+ CVE-2017-5386: WebExtensions can use data: protocol to affect other 
extensions
+ CVE-2017-5394: Android location bar spoofing using fullscreen and 
JavaScript events
+ CVE-2017-5391: Content about: pages can load privileged about: pages
+ CVE-2017-5392: Weak references using multiple threads on weak proxy 
objects lead to unsafe memory usage
+ CVE-2017-5393: Remove addons.mozilla.org CDN from whitelist for 
mozAddonManager
+ CVE-2017-5395: Android location bar spoofing during scrolling
+ CVE-2017-5387: Disclosure of local file existence through TRACK tag 
error messages
+ CVE-2017-5388: WebRTC can be used to generate a large amount of UDP 
traffic for DDOS attacks
+ CVE-2017-5374: Memory safety bugs fixed in Firefox 51
+ CVE-2017-5373: Memory safety bugs fixed in Firefox 51 and Firefox ESR 45.7


^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 17:49 ` Anton Farygin
  2017-02-21 18:33   ` Michael Shigorin
@ 2017-02-21 19:09   ` Dmitry Derjavin
  2017-02-22 10:07     ` Igor Zubkov
  2017-02-28 17:04   ` lineprinter
  2 siblings, 1 reply; 24+ messages in thread
From: Dmitry Derjavin @ 2017-02-21 19:09 UTC (permalink / raw)
  To: devel

Вт, 21 фев 2017, 20:49, Anton Farygin:

> 21.02.2017 20:29, lineprinter пишет:
>> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
>> для security-tracker'а, которого еще нет. Предлагаю обсудить.
>
> Странно общаться в devel с принтером, пусть он даже line и очень быстр.
> Предлагаю начать обсуждение с этого ;)

Поддерживаю. Тема обсуждения, кстати, намекает на более ответственное
отношение к идентификации.

По теме: чем «security-tracker, которого еще нет» будет отличаться от
того, который уже есть?

> https://packages.altlinux.org/en/Sisyphus/security

Или это не security-tracker?

-- 
~dd

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 19:02       ` Anton Farygin
@ 2017-02-21 19:32         ` Michael Shigorin
  2017-02-21 19:34         ` Alexey Gladkov
  1 sibling, 0 replies; 24+ messages in thread
From: Michael Shigorin @ 2017-02-21 19:32 UTC (permalink / raw)
  To: devel

On Tue, Feb 21, 2017 at 10:02:57PM +0300, Anton Farygin wrote:
> Мне в последнее время нравится такая трактовка, предпочёл бы
> её, когда есть время всё это описывать:
> 
> - Fixed:
> + CVE-2017-5375: Excessive JIT code allocation allows bypass of ASLR and DEP
> + CVE-2017-5376: Use-after-free in XSL

Кстати, и впрямь ведь есть не только CVE, а трансляцию между
различными агрегаторами явно лучше поручить коду, не людям.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 19:02       ` Anton Farygin
  2017-02-21 19:32         ` Michael Shigorin
@ 2017-02-21 19:34         ` Alexey Gladkov
  1 sibling, 0 replies; 24+ messages in thread
From: Alexey Gladkov @ 2017-02-21 19:34 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Tue, Feb 21, 2017 at 10:02:57PM +0300, Anton Farygin wrote:
> 21.02.2017 21:44, Dmitry V. Levin пишет:
> > Но если кому-то существенно удобнее записывать это как-то иначе и без
> > скобочек, то, наверное, это можно формализовать и включить в правила.
> 
> Мне в последнее время нравится такая трактовка, предпочёл бы её, когда 
> есть время всё это описывать:

elinks -dump-width 2000 "https://www.mozilla.org/en-US/security/advisories/mfsa2017-01/" |
	grep '\]#CVE-' |
	sed -e 's,^.*#,  + ,'

:)

> - Fixed:
> + CVE-2017-5375: Excessive JIT code allocation allows bypass of ASLR and DEP
> + CVE-2017-5376: Use-after-free in XSL
> + CVE-2017-5377: Memory corruption with transforms to create gradients 
> in Skia
> + CVE-2017-5378: Pointer and frame data leakage of Javascript objects
> + CVE-2017-5379: Use-after-free in Web Animations
> + CVE-2017-5380: Potential use-after-free during DOM manipulations
> + CVE-2017-5390: Insecure communication methods in Developer Tools JSON 
> viewer
> + CVE-2017-5389: WebExtensions can install additional add-ons via 
> modified host requests
> + CVE-2017-5396: Use-after-free with Media Decoder
> + CVE-2017-5381: Certificate Viewer exporting can be used to navigate 
> and save to arbitrary filesystem locations
> + CVE-2017-5382: Feed preview can expose privileged content errors and 
> exceptions
> + CVE-2017-5383: Location bar spoofing with unicode characters
> + CVE-2017-5384: Information disclosure via Proxy Auto-Config (PAC)
> + CVE-2017-5385: Data sent in multipart channels ignores referrer-policy 
> response headers
> + CVE-2017-5386: WebExtensions can use data: protocol to affect other 
> extensions
> + CVE-2017-5394: Android location bar spoofing using fullscreen and 
> JavaScript events
> + CVE-2017-5391: Content about: pages can load privileged about: pages
> + CVE-2017-5392: Weak references using multiple threads on weak proxy 
> objects lead to unsafe memory usage
> + CVE-2017-5393: Remove addons.mozilla.org CDN from whitelist for 
> mozAddonManager
> + CVE-2017-5395: Android location bar spoofing during scrolling
> + CVE-2017-5387: Disclosure of local file existence through TRACK tag 
> error messages
> + CVE-2017-5388: WebRTC can be used to generate a large amount of UDP 
> traffic for DDOS attacks
> + CVE-2017-5374: Memory safety bugs fixed in Firefox 51
> + CVE-2017-5373: Memory safety bugs fixed in Firefox 51 and Firefox ESR 45.7
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

-- 
Rgrds, legion



^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 18:44     ` Dmitry V. Levin
  2017-02-21 19:02       ` Anton Farygin
@ 2017-02-22  7:31       ` Sergey V Turchin
  2017-02-22  7:34         ` Michael Shigorin
  1 sibling, 1 reply; 24+ messages in thread
From: Sergey V Turchin @ 2017-02-22  7:31 UTC (permalink / raw)
  To: ALT Devel discussion list

On Tuesday, 21 February 2017 21:44:33 MSK Dmitry V wrote:
> On Tue, Feb 21, 2017 at 09:33:12PM +0300, Michael Shigorin wrote:
> > On Tue, Feb 21, 2017 at 08:49:27PM +0300, Anton Farygin wrote:
> > > И да, т.к. CVE бывает исправлено много или очень много, то как мне
> > > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек.
> > 
> > Соглашусь:
> > http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelo
> > g
> 
> Я бы предпочёл, чтобы вместо
> 
> - new version
> - security fixes:
>   CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860,
>   CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864,
>   CVE-2016-7865
> 
> в %changelog пакета adobe-flash-player было написано
Конкретно в этом случае мне абсолютно без разницы, что писать по обе стороны 
такого перечисления CVE.

[...]

-- 
Regards, Sergey.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-22  7:31       ` Sergey V Turchin
@ 2017-02-22  7:34         ` Michael Shigorin
  0 siblings, 0 replies; 24+ messages in thread
From: Michael Shigorin @ 2017-02-22  7:34 UTC (permalink / raw)
  To: devel

On Wed, Feb 22, 2017 at 10:31:06AM +0300, Sergey V Turchin wrote:
> > > > И да, т.к. CVE бывает исправлено много или очень много, то как мне
> > > > кажется, достаточно просто указания CVE-xxxx-xxxxx без скобочек.
> > > Соглашусь:
> > > http://packages.altlinux.org/ru/Sisyphus/srpms/adobe-flash-player/changelog
> > Я бы предпочёл, чтобы вместо
> > 
> > - new version
> > - security fixes:
> >   CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860,
> >   CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864,
> >   CVE-2016-7865
> > 
> > в %changelog пакета adobe-flash-player было написано
> Конкретно в этом случае мне абсолютно без разницы, что писать
> по обе стороны такого перечисления CVE.

Это, кстати, ещё и про то, подхватится ли уже существующая
информация из предыдущих сборок; я бы, если и хотел "иначе",
постарался разбирать и то, как уже есть.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 19:09   ` Dmitry Derjavin
@ 2017-02-22 10:07     ` Igor Zubkov
  2017-02-22 11:20       ` Andrew Clark
  0 siblings, 1 reply; 24+ messages in thread
From: Igor Zubkov @ 2017-02-22 10:07 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-02-21 21:09 GMT+02:00 Dmitry Derjavin:
> Вт, 21 фев 2017, 20:49, Anton Farygin:
>
>> 21.02.2017 20:29, lineprinter пишет:
>>> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
>>> для security-tracker'а, которого еще нет. Предлагаю обсудить.
>>
>> Странно общаться в devel с принтером, пусть он даже line и очень быстр.
>> Предлагаю начать обсуждение с этого ;)
>
> Поддерживаю. Тема обсуждения, кстати, намекает на более ответственное
> отношение к идентификации.
>
> По теме: чем «security-tracker, которого еще нет» будет отличаться от
> того, который уже есть?
>
>> https://packages.altlinux.org/en/Sisyphus/security
>
> Или это не security-tracker?

Это не security, это не tracker, это просто позорная выборка из базы
которая сильно тормозит. На ней даже нет RSS. /security лучше убрать с
сайта и не позорится, чем что-то делать.

Правильный security tracker должен что делать:
1. Выгребать из записей %changelog все упоминания по поводу CVE и
таких же индентификаторов от самих разработчиков. Как пример,
phpMyAdmin. У них используется своя система трекания дыр и они нумерую
их как PMASA. У руби сообщества есть ruby-advisory-db.
2. Импортировать с http://www.cve.mitre.org список всех CVE.
3. Импортировать с других мест данные о проблемах с безопасностью. Тот же PMASA.
4. Линковать релиз пакета с списком проблем которые были исправлены в
релизе с CVE и иже с ним.
5. Дальше можно показывать сырой список того что было найдено в
%changelog пакетов
6. Можно и нужно, наверно, менеджить список того что над залетело из
каталога CVE (и других). Как пример, есть проблемы которым наше ядро
может быть не подвержено в силу того что оно было собрано не так.
7. Можно на основе этой информации писать Security Advisories и слать
из в security@ почтовую рассылку.
8. Иметь статистику что исправлено, а что нет. По бранчам как пример.

Я знаю сколько на разработку этого надо времени, только не знаю кто
заплатит за этот банкет. :)

-- 
Igor Zubkov
http://hi.im/ice

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-22 10:07     ` Igor Zubkov
@ 2017-02-22 11:20       ` Andrew Clark
  0 siblings, 0 replies; 24+ messages in thread
From: Andrew Clark @ 2017-02-22 11:20 UTC (permalink / raw)
  To: ALT Linux Team development discussions

22 февраля 2017 г., 13:07 пользователь Igor Zubkov
<igor.zubkov@gmail.com> написал:

> Я знаю сколько на разработку этого надо времени, только не знаю кто
> заплатит за этот банкет. :)

"Денег сейчас нет... Вы держитесь здесь, Вам всего доброго, хорошего настроения
и здоровья" [c] жалкий

-- 
Talk is cheap, show me the code (c) Linus Torvalds

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 17:49 ` Anton Farygin
  2017-02-21 18:33   ` Michael Shigorin
  2017-02-21 19:09   ` Dmitry Derjavin
@ 2017-02-28 17:04   ` lineprinter
  2017-03-06 17:08     ` Anton Farygin
  2 siblings, 1 reply; 24+ messages in thread
From: lineprinter @ 2017-02-28 17:04 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-02-21 20:49 GMT+03:00 Anton Farygin <rider@altlinux.com>:
> И да, т.к. CVE бывает исправлено много или очень много, то как мне кажется,
> достаточно просто указания CVE-xxxx-xxxxx без скобочек.

Недостаточно, потому что идентификатор уязвимости иногда указывается
не только в контексте её исправления.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-21 17:29 [devel] Vulnerability policy lineprinter
  2017-02-21 17:49 ` Anton Farygin
@ 2017-02-28 17:06 ` lineprinter
  2017-02-28 17:39   ` Alexey Tourbin
                     ` (3 more replies)
  1 sibling, 4 replies; 24+ messages in thread
From: lineprinter @ 2017-02-28 17:06 UTC (permalink / raw)
  To: ALT Linux Team development discussions

По результатам обсуждения страница
https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим
предлагаю прокомментировать.

2017-02-21 20:29 GMT+03:00 lineprinter <lineprinter@altlinux.org>:
> Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
> для security-tracker'а, которого еще нет. Предлагаю обсудить.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:06 ` lineprinter
@ 2017-02-28 17:39   ` Alexey Tourbin
  2017-02-28 17:51     ` Евгений Терешков
  2017-03-02  6:57   ` [devel] Vulnerability policy Alexey Tourbin
                     ` (2 subsequent siblings)
  3 siblings, 1 reply; 24+ messages in thread
From: Alexey Tourbin @ 2017-02-28 17:39 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter@altlinux.org>:
> По результатам обсуждения страница
> https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим
> предлагаю прокомментировать.

Пожалуйста. Во-первых, %changelog есть не место для дискуссий, то есть
озабоченность одних людей не должна передаваться другим. Сборка новой
версии пакета для мейнтейнера - достаточное условие, чтобы забыть обо
всяких уязвимостях в прежних версиях пакета.

Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак
не проработана. Процесс может болтаться со старой разделяемой
библиотекой, которая давно уже стерта в фс, до пришествия Христа.
Проблема решается только полной перезагрузкой.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:39   ` Alexey Tourbin
@ 2017-02-28 17:51     ` Евгений Терешков
  2017-02-28 18:12       ` Alexey Tourbin
  0 siblings, 1 reply; 24+ messages in thread
From: Евгений Терешков @ 2017-02-28 17:51 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Alexey Tourbin пишет:

> Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак
> не проработана. Процесс может болтаться со старой разделяемой
> библиотекой, которая давно уже стерта в фс, до пришествия Христа.
> Проблема решается только полной перезагрузкой.

Не совсем так. См. пакет needrestart. Ничего не мешает автоматически
перезапускать затрагиваемые сервисы, почти что любые, было бы желание.

-- 
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:51     ` Евгений Терешков
@ 2017-02-28 18:12       ` Alexey Tourbin
  2017-03-04  1:03         ` [devel] needrestart (was: Vulnerability policy) Dmitry V. Levin
  0 siblings, 1 reply; 24+ messages in thread
From: Alexey Tourbin @ 2017-02-28 18:12 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-02-28 20:51 GMT+03:00 Евгений Терешков <evg-krsk@yandex.ru>:
> Alexey Tourbin пишет:
>
>> Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак
>> не проработана. Процесс может болтаться со старой разделяемой
>> библиотекой, которая давно уже стерта в фс, до пришествия Христа.
>> Проблема решается только полной перезагрузкой.
>
> Не совсем так. См. пакет needrestart. Ничего не мешает автоматически
> перезапускать затрагиваемые сервисы, почти что любые, было бы желание.

При обновлении системных библиотек, насколько я знаю, сервисы в связи
с этим штатно никак перезапустить нельзя. Нету такого штатного
механизма, чтобы вследствие rename() в /lib64 какой-то сервис в
добровольно-принудительном порядке сделал exec("/proc/self/exe").

Это приводит меня к мысли, что подписчик или подписчица, которая
поставила вопросы в начальном письме, она их не обдумала. Потому что
никакого нормального исхода из этих вопросов нету. :-(

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:06 ` lineprinter
  2017-02-28 17:39   ` Alexey Tourbin
@ 2017-03-02  6:57   ` Alexey Tourbin
  2017-03-03  5:35   ` Alexey Tourbin
  2017-05-02 15:31   ` Dmitry V. Levin
  3 siblings, 0 replies; 24+ messages in thread
From: Alexey Tourbin @ 2017-03-02  6:57 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter@altlinux.org>:
> По результатам обсуждения страница
> https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим
> предлагаю прокомментировать.

Полагаться на %changelog - плохая идея. В моей практике знаете какой
был случай? Один пациент прислал мне пакет postgesql.src.rpm с
исправлением уязвимости, чтобы я собрал его в updates. (Было это в
2003 году, тогда еще не было бранчей, а были updates для
дистрибутивов.)  И вот я из любопытства просматриваю этот пакет,
строчка Patch: там есть, а соответствующей строчки %patch - нету. Я
пациенту пишу: патч не прикладывается. Он: то есть как это не
прикладывается? То есть совсем не прикладывается. Языковая
двусмысленность такая немного смешная.

Полагаться на исправленную версию - несколько лучше. Поскольку
облажаться пациенту в этом случае сложнее. Проблема только в том, что
опережающая версия иногда используется для сборки пререлизов (такие
сборки часто получают релиз alt0.1 и т.д.) Поэтому в плане версий
можно выделить три случая:

- версия > succ(v) - уязвимость исправлена (где v - уязвимая версия).
- версия = succ(v) - пограничный случай, смотрим на релиз alt0*.
- версия = v - скорее всего не исправлена, если нет упоминания в %changelog.

Но это только если бы версии последовательно нумеровались. Если,
например, уязвимы версии вплоть до 3.3, а в сизифе имеется
4.0-alt-0.1, то сказать что либо сложно. Кроме того, релизы alt0*
перегружены: они также используются для бекпортов в бранчи.

Вообще, если ставить дело на серьезную ногу, то вся это эвристика не
годится, а играют роль только два критерия: 1) текстовое совпадение в
коде (а именно, сделать rpm -bp и дальше смотреть, прикладывается ли
патч или наоборот patch -R); 2) воспроизводимость уязвимости. Нужно
уметь воспроизвести уязвимость в уязвимой версии и показать, что
уязвимость больше не воспроизводится в исправленной версии.  Это самое
тяжелое, и это конечно надо стараться как-то автоматизировать.  Я в
свое время несколько пакетов так исправил.

Потом мне это надоело до чертиков. Там еще было очень много
имитационной деятельности. То есть нужно было писать анонс:
"обнаружена уязвимость, потенциальный злоумышленник может вас задрать"
и там еще ссылки надо было вставлять на скачивание rpm-пакетов. Ну в
общем подражание Ред Хату при отсутствии редхатовских клиентов и
бюджетов - маразм в чистом виде.

Дались они вам эти уязвимости. Мой опыт показывает, что сколько их не
исправляй, они тут же новые вскакивают. Как говорил Иисус Христос,
сборка обновлений - это суета и томление духа.  Советую вам лучше
что-нибудь выпить. В Пятерочке сейчас продается Rauli Chardonnay 2015
за 300 с небольшим рублей. По-моему, ничего.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:06 ` lineprinter
  2017-02-28 17:39   ` Alexey Tourbin
  2017-03-02  6:57   ` [devel] Vulnerability policy Alexey Tourbin
@ 2017-03-03  5:35   ` Alexey Tourbin
  2017-03-03 15:00     ` Sergey Afonin
  2017-05-02 15:31   ` Dmitry V. Levin
  3 siblings, 1 reply; 24+ messages in thread
From: Alexey Tourbin @ 2017-03-03  5:35 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter@altlinux.org>:
> По результатам обсуждения страница
> https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим
> предлагаю прокомментировать.

Уважаемый мужчина или женщина! Вы удостоились ответа, который сейчас
обсуждается на фейсбуке людьми намного старше вас. Будет архистранно,
если вы не захотите что-нибудь ответить.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-03-03  5:35   ` Alexey Tourbin
@ 2017-03-03 15:00     ` Sergey Afonin
  2017-03-03 15:06       ` Alexey Tourbin
  0 siblings, 1 reply; 24+ messages in thread
From: Sergey Afonin @ 2017-03-03 15:00 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Friday 03 March 2017, Alexey Tourbin wrote:

> обсуждается на фейсбуке

Ничего личного, но я бы не пошёл. А, если что, как
это всё искать потом в фесбуковском мусоре ?

-- 
С уважением, Сергей Афонин.


^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-03-03 15:00     ` Sergey Afonin
@ 2017-03-03 15:06       ` Alexey Tourbin
  0 siblings, 0 replies; 24+ messages in thread
From: Alexey Tourbin @ 2017-03-03 15:06 UTC (permalink / raw)
  To: ALT Linux Team development discussions

2017-03-03 18:00 GMT+03:00 Sergey Afonin <asy@altlinux.ru>:
> On Friday 03 March 2017, Alexey Tourbin wrote:
>
>> обсуждается на фейсбуке
>
> Ничего личного, но я бы не пошёл. А, если что, как
> это всё искать потом в фесбуковском мусоре ?

You put more to in than there it is.
There is only a mild urge to the young lady to continue the discussion.

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] needrestart (was:  Vulnerability policy)
  2017-02-28 18:12       ` Alexey Tourbin
@ 2017-03-04  1:03         ` Dmitry V. Levin
  0 siblings, 0 replies; 24+ messages in thread
From: Dmitry V. Levin @ 2017-03-04  1:03 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 1374 bytes --]

Меняю тему на needrestart, поскольку Vulnerability policy тут уже
не при чём.

On Tue, Feb 28, 2017 at 09:12:04PM +0300, Alexey Tourbin wrote:
> 2017-02-28 20:51 GMT+03:00 Евгений Терешков <evg-krsk@yandex.ru>:
> > Alexey Tourbin пишет:
> >
> >> Во-вторых, механика обновления уязвимых пакетов на нижнем уровне никак
> >> не проработана. Процесс может болтаться со старой разделяемой
> >> библиотекой, которая давно уже стерта в фс, до пришествия Христа.
> >> Проблема решается только полной перезагрузкой.
> >
> > Не совсем так. См. пакет needrestart. Ничего не мешает автоматически
> > перезапускать затрагиваемые сервисы, почти что любые, было бы желание.
> 
> При обновлении системных библиотек, насколько я знаю, сервисы в связи
> с этим штатно никак перезапустить нельзя. Нету такого штатного
> механизма, чтобы вследствие rename() в /lib64 какой-то сервис в
> добровольно-принудительном порядке сделал exec("/proc/self/exe").

Цитата из https://github.com/liske/needrestart:
"needrestart checks which daemons need to be restarted after library upgrades"

Вполне традиционный подход, он ещё и до systemd работал, когда вполне
надёжного способа определить, какому сервису принадлежит данный pid,
ещё не было.

Если файл библиотеки переименовался и не удалился в результате обновления,
то это результат какого-то жульничества.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:04   ` lineprinter
@ 2017-03-06 17:08     ` Anton Farygin
  0 siblings, 0 replies; 24+ messages in thread
From: Anton Farygin @ 2017-03-06 17:08 UTC (permalink / raw)
  To: devel

28.02.2017 20:04, lineprinter пишет:
> 2017-02-21 20:49 GMT+03:00 Anton Farygin <rider@altlinux.com>:
>> И да, т.к. CVE бывает исправлено много или очень много, то как мне кажется,
>> достаточно просто указания CVE-xxxx-xxxxx без скобочек.
>
> Недостаточно, потому что идентификатор уязвимости иногда указывается
> не только в контексте её исправления.

Есть такие примеры ?



^ permalink raw reply	[flat|nested] 24+ messages in thread

* Re: [devel] Vulnerability policy
  2017-02-28 17:06 ` lineprinter
                     ` (2 preceding siblings ...)
  2017-03-03  5:35   ` Alexey Tourbin
@ 2017-05-02 15:31   ` Dmitry V. Levin
  3 siblings, 0 replies; 24+ messages in thread
From: Dmitry V. Levin @ 2017-05-02 15:31 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 507 bytes --]

On Tue, Feb 28, 2017 at 08:06:06PM +0300, lineprinter wrote:
> По результатам обсуждения страница
> https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим
> предлагаю прокомментировать.

Поскольку возражений не поступило, будем считать эти правила принятыми.

> 2017-02-21 20:29 GMT+03:00 lineprinter <lineprinter@altlinux.org>:
> > Назрела необходимость в https://www.altlinux.org/Vulnerability_Policy
> > для security-tracker'а, которого еще нет. Предлагаю обсудить.

-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 24+ messages in thread

end of thread, other threads:[~2017-05-02 15:31 UTC | newest]

Thread overview: 24+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2017-02-21 17:29 [devel] Vulnerability policy lineprinter
2017-02-21 17:49 ` Anton Farygin
2017-02-21 18:33   ` Michael Shigorin
2017-02-21 18:44     ` Dmitry V. Levin
2017-02-21 19:02       ` Anton Farygin
2017-02-21 19:32         ` Michael Shigorin
2017-02-21 19:34         ` Alexey Gladkov
2017-02-22  7:31       ` Sergey V Turchin
2017-02-22  7:34         ` Michael Shigorin
2017-02-21 19:09   ` Dmitry Derjavin
2017-02-22 10:07     ` Igor Zubkov
2017-02-22 11:20       ` Andrew Clark
2017-02-28 17:04   ` lineprinter
2017-03-06 17:08     ` Anton Farygin
2017-02-28 17:06 ` lineprinter
2017-02-28 17:39   ` Alexey Tourbin
2017-02-28 17:51     ` Евгений Терешков
2017-02-28 18:12       ` Alexey Tourbin
2017-03-04  1:03         ` [devel] needrestart (was: Vulnerability policy) Dmitry V. Levin
2017-03-02  6:57   ` [devel] Vulnerability policy Alexey Tourbin
2017-03-03  5:35   ` Alexey Tourbin
2017-03-03 15:00     ` Sergey Afonin
2017-03-03 15:06       ` Alexey Tourbin
2017-05-02 15:31   ` Dmitry V. Levin

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git