Kernel 2.6.11.11

Просто интересно ALTLinux на ветку 2.6 Сизиф перевел? Вроде обещали перевести как это дело стабилизируется - судя по последним новостям оно уже так застабилизировалось, что ой-ой ой

думается нада ждать 2.6.12 и не мучатся

сначала будет 2.6.11.12, потом .13, дойдет до .130, тогда будет уже пора выпускать 2.8

хм... всего 16 патчей, из них всего 1 :

>[PATCH] Fix minor security hole >ROSE wasn't verifying the ndigis argument of a new route resulting in a minor security hole.

Где тут множество проблем в безопасности-то???

> Просто интересно ALTLinux на ветку 2.6 Сизиф перевел? Вроде обещали перевести как это дело стабилизируется - судя по последним новостям оно уже так застабилизировалось, что ой-ой ой

В ALT Linux давным давно в дистрибутиве лежат и 2.4 и 2.6 ветки, которые постоянно обновляются. так что не надо слухов

Что в прочем не мешает иметь в бинариках старый ФФ, Thunderbird и дырявый sshd ;)

Модераторы говорили: ждём 2.6.12, а тут и не выдержали...

а ты посмотри кто новость подтвердил ;)

> Где тут множество проблем в безопасности-то???

Я когда-то говорил, что скоро будут гордо писать: одна множественная проблема в безопасности. Потому что для некоторых (особенно для адептов известной поделки из Беркли) любая, даже самая мелкая дырка в ядре Linux -- множественная и критичная. :)

("Дырка в ядре линукса -- это прежде всего дырка в его гробу, и лишний гвоздь туда забить никогда не помешает...")

Дырявый? а за слова ответишь? сомневаюсь

ты на bugtraq давно не был?

>Модераторы говорили: ждём 2.6.12, а тут и не выдержали...

Сверху спустили директиву: подтверждать, если в тексте новости приведен список изменений.

ты список патчей в _конкретной_ сборке смотрел, или просто покричать вышел?

>("Дырка в ядре линукса -- это прежде всего дырка в его гробу, и лишний гвоздь туда забить никогда не помешает...")

Линуксоиды лора сочли это высказывание враждебным. Ведь сколько труда потребуется приложить чтобы откупорить этот гроб и залезьть в него, если он всетаки понадобится.

С удовольствием отвечу

здесь - http://altlinux.ru/index.php?module=sisyphus&package=openssh - текущаа версия в сизифе, вот здесь - http://openssh.org/ - можно посмотреть, какая версия сейчас самая последняя, ну а вот и линк на дыру - http://www.openssh.com/txt/buffer.adv Про кол-во дыр в FF 0.8 (!!!) я конечно промолчу ;)

Ну так и скажи, какие патчи были наложены конкретно на openssh в 2.4

Всё-таки, прежде чем утверждать что-либо, стоит ознакомиться с предмеьом.

[denis@ogion denis]$ rpm --changelog openssh
* Пнд Май 10 2004 Dmitry V. Levin <ldv@altlinux.org> 3.6.1p2-alt6
- Backported fix for rcp directory traversal bug (CAN-2004-0175).
- Build with openssl-0.9.7d.

* Пнд Апр 26 2004 Dmitry V. Levin <ldv@altlinux.org> 3.6.1p2-alt5
- Backported UT_LINESIZE fix (#3980).

* Срд Сен 17 2003 Dmitry V. Levin <ldv@altlinux.org> 3.6.1p2-alt4
- Included the buffer and channels memory reallocation fixes from
  http://www.openssh.com/txt/buffer.adv (2nd revision).
- Reviewed all uses of *realloc(), resulting in four more fixes
  of this nature (Owl).
- Corrected startup script to honor $EXTRAOPTIONS in check mode too.

* Втр Сен 16 2003 Dmitry V. Levin <ldv@altlinux.org> 3.6.1p2-alt3
- Fixed scp return status
  (http://bugzilla.mindrot.org/show_bug.cgi?id=638).
- Fixed memory allocation error in buffer_append_space.
...

> Про кол-во дыр в FF 0.8 (!!!) я конечно промолчу ;)

Стоит так же ознакомиться с 

http://www.altlinux.ru/index.php?module=sisyphus&package=firefox

а так же с

ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/backports/2.4/i586/RPMS.backpor
ts/firefox-1.0.4-alt0.M24.2.cvs20050420.i586.rpm

Что-то я не вижу там FF 0.8.

> Что в прочем не мешает иметь в бинариках старый ФФ, Thunderbird и дырявый sshd ;)

http://www.altlinux.ru/index.php?module=sisyphus&package=thunderbird http://www.mozilla.org/products/thunderbird/releases/

Итого, ссумируя с двумя постами выше, вынужден констатировать, что вы трижды солгали в вашем сообщении.

> Линуксоиды лора сочли это высказывание враждебным. Ведь сколько труда потребуется приложить чтобы откупорить этот гроб и залезьть в него, если он всетаки понадобится.

Потому что бздюшники не жалеют гвоздей, по три штуки в одну дырку заколачивают? :)

>Стоит так же ознакомиться с >http://www.altlinux.ru/index.php?module=sisyphus&package=firefox >а так же с >ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/backports/2.4/i586/RPMS.backpor >ts/firefox-1.0.4-alt0.M24.2.cvs20050420.i586.rpm >Что-то я не вижу там FF 0.8.

А вы там и не увидите, тк первая ссылка это сизиф, а второе это backports, а в Мастере 2.4 и апдейтах как раз 0.8

А по поводу сизифа и backports стоит почитать www.altlinux.ru где говориться, что используйте их на свой страх и риск.

> А вы там и не увидите, тк первая ссылка это сизиф, а второе это backports, а в Мастере 2.4 и апдейтах как раз 0.8

> А по поводу сизифа и backports стоит почитать www.altlinux.ru где говориться, что используйте их на свой страх и риск.

Я в курсе. Но речь изначально шла именно о Сизифе, а не о Мастере. Естественно, что в дистрибутиве будут старые версии, т.к. дистрибутив вышел уже достаточно давно, а в апдейтах появляются только секьрити-фиксы и не всего подряд.

А по поводу бэкпортов, то мне кажется что этот самый страх и риск в случае бэкпортом поменьше будет, нежели в сизифе. Тем более, что иногда новые сборки сначала появившись в бэкпортах появляются в официальных апдейтах.

> Я в курсе. Но речь изначально шла именно о Сизифе, а не о Мастере. > Естественно, что в дистрибутиве будут старые версии, т.к. дистрибутив >вышел уже достаточно давно, а в апдейтах появляются только >секьрити-фиксы и не всего подряд.

Сорри. меня смутила фраза по поводу количества дырок в 0.8. И подумалось, что речь уже перешла на Master2.4

> Сверху спустили директиву: подтверждать, если в тексте новости приведен список изменений.

Директивы не читал :)

Линк в студию

Речь идет о пакетах в текущем дистрибутиве а не в разных там бэкпортах (ибо так и можно и из исходников все собрать ;-) ) Вот прямо сейчас сказал

apt-get upgrade apt-get distr-upgrade

и ни слова о свеженьком FF. Против Альта ничего супротив не имею - сам пользуюсь - но их определенного рода задержки с выходом обновлений немного раздражают, я уже даже к SuSe начал присматриваться и нужноже всетаки пнуть какого-нить сотрудника ALTLinux'a пускай хоть и манагера по пеару ;)

> Речь идет о пакетах в текущем дистрибутиве а не в разных там бэкпортах.

Простите, но помоему у вас что-то с памятью, либо вы весьма туманно излагаете ваши мысли.

Всё началось с вашего коментария к посту device (*) (30.05.2005 10:46:33):

> Что в прочем не мешает иметь в бинариках старый ФФ, Thunderbird и дырявый sshd ;)

>palach * (*) (30.05.2005 11:22:49)

В исходном посте device ни слова не было сказано про дистрибутив, но говорилось о Сизифе.

И тут вы просто промахнулись (или может быть сознательно привели дезинформацию для разжигания флейма) на счёт FF, TB & openssh.

Что касается дистрибутива, то естественно, что в нём старые версии тогоже FF & TB, ведь он же вышел раньше, чем появились эти новые версии.

> Против Альта ничего супротив не имею - сам пользуюсь - но их определенного рода задержки с выходом обновлений немного раздражают.

Вам никто и не обещал, что будут выходить обновления ко всему подряд. Выходят только обновления, связанные с безопасностью для определённого и ограниченного круга пакетов, как правило системообразующих. Новые версии FF никто не обещал в updates, для этого есть backports.

> и нужноже всетаки пнуть какого-нить сотрудника ALTLinux'a пускай хоть и манагера по пеару ;)

Боюсь, что вы ошиблись местом пинания. Я сомневаюсь, что на ЛОР появляется хоть кто-нибудь из руководства ALTLinux или майнтейнеров пакетов. Сожалею, но тут не та публика.

И вообще, это всё неоднократно обсуждалось уже в альтовских рассылках, воспользуйтесь гуглом в конце-концов. Сдесь же обсуждать политику выхода обновлений к дистрибутивам ALTLinux по меньшей мере бессмысленно.

> Линк в студию

Простите, линк на что?

http://lists.altlinux.ru/pipermail/security-announce/2003-September/000186.html


Такой линк сойдёт?

Некто с ником aen, любящий поспорить с анонимусами об откатах наверно тоже не из той публики?

>Боюсь, что вы ошиблись местом пинания. Я сомневаюсь, что на ЛОР появляется хоть кто-нибудь из руководства ALTLinux или майнтейнеров пакетов. Сожалею, но тут не та публика.

появляются. и руководство, и maintainer'ы. просто никто не видит смысла здесь рассказывать очевидные вещи. например о том, что наличие/отсутствие опубликованной уязвимости никак не зависит от версии пакета, потому что патч приложить можно и не меняя версию.

специально для palach,device и сотоварищи. ff, tb и ещё довольно большая часть пакетов - не дистрибутив, а contrib к нему. updates к тому, что лежит в RPMS.contrib, никто не обещал. нужно новое/исправленное - ходи в backports. "разные там бэкпорты" по факту являются updates для contrib.