LINUX.ORG.RU

Почему в Debian уязвимости не исправляют?

 , , ,


1

1

На офф.сайте написано https://www.debian.org/security/

Debian очень серьёзно относится к проблемам безопасности. Все проблемы безопасности, доведённые до нашего внимания, обрабатываются и исправляются в течении определённых разумных сроков. Множество предупреждений безопасности координируются другими поставщиками Свободного ПО и публикуются в тот же день, что и найденная уязвимость.

Смотрю какая версия tor в stable: https://packages.debian.org/ru/buster/tor Последнее обновление еще в прошлом году, и как так? chromium тоже доисторический, хотя пакет популярный.

-------------------------

Решение:

deb https://deb.torproject.org/torproject.org buster main



Последнее исправление: AdonisSexyBoy (всего исправлений: 1)

Всему виной твоя глупость.

Ты считаешь, что чем больше цифра версии ПО, тем в нём меньше уязвимостей. Путаешь тёплое с мягким. Но, теперь этой глупости нет, поздравляю!

anonymous
()
Ответ на: комментарий от AdonisSexyBoy

А если пруфа нет, то вот тебе к сведению: ты всегда можешь взять пакет из Sid’a. Более того, на сайте торовском отличная документация и репозитории специально под Дебиан. Браузеров это также касается.

anonymous
()
Ответ на: комментарий от anonymous

Ну следить лично за каждым пакетов сомнительное удовольствие, я думал за обновлением следят сопровождающие, разве это не входит в их обязанности?

AdonisSexyBoy
() автор топика
Ответ на: комментарий от AdonisSexyBoy

Они и следят, и последнее обновление было в этом году, однако, а не в прошлом. Если исправлений нет, то ничего важного не было, на их взгляд.

anonymous
()
Ответ на: комментарий от AdonisSexyBoy

Ну следить лично за каждым пакетов сомнительное удовольствие

Ты зашел потроллить? Тебе ли важен инструмент и ты за ним следишь как за зеницей Ока, либо ты пологаешься на коллег по цеху.

На заводе никогда не работал? Там это офигенно ощущается.

anonymous
()

Потому что не все пакеты равны.

Есть пионерская ерунда, а есть серверное серьёзное.

Понятно какие приоритеты.

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Поэтому нужно разделять дистрибутив. Серверная версия - максимально стабильная с минимум пакетов, без гуя и прочего шлака, но с мета-пакетами для LTS и текущих версий, например: nginx-stable, nginx-mainline. Десктоп - а-ля Archlinux, без бюрократических заморочек Debian, которые отсутствуют в более успешных дистрибутивах.

anonymous
()
Ответ на: комментарий от fornlr

Так нет ресурсов (рук) из-за этих заморочек. Ты попробуй добавить пакет в Debian и тот же Archlinux, Fedora, Gentoo.

В Debian на каждый чих нужно согласование и согласование на это согласование.

anonymous
()
Ответ на: комментарий от anonymous

Да, а ты ещё одну хочешь. Причём для всяких тестовых воообще в открытую пишут, что секурные обновления это самое отсутствуют, можно сказать.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от fornlr

Я хочу, чтобы они закопали все версии и все нераспространенные архитектуры.

Создали северную редакцию с минимум пакетов (на 500 пакетов у них же сил хватит?!).

Создали десктопную версию с минимум вливания «от себя любимых». Голый upstream а-ля Archlinux. Только под 64 битные и армы. Сук, даже guix с их 3.5 колеками сумели это реализовать.

anonymous
()
Ответ на: комментарий от anonymous

Хрен ли толку от поддержки стольких архитектур?! Если почти все не основные поддерживаются тяп-ляп.

anonymous
()
Ответ на: комментарий от anonymous

На Manjaro та же проблема, но там уязвимостей правда нету. Но на всех этих арчах проблема с нестабильностью. Вообще идеально сочетание как по мне это стабильная базовая система (включая основные библиотеки, иксы, qt, gtk) и неубиваемый explorer.exe, а приложения уже ставятся новых версий, а лучше любых версий, в виде AppImage.

AdonisSexyBoy
() автор топика
Ответ на: комментарий от AdonisSexyBoy

В мире OpenSource нет стабильности. Разве только гробовая стабильность, она наступает со смертью проекта, а так - проект живёт здесь и сейчас, а не вчера и позавчера. Единственное некоторые компании могут сделать некоторым фичам «назад в прошлое», но это исключение. Смотри ядро RHEL. В него очень часто переносят что-то от новых ядер. Debian же себе такого позволить не может. Они даже бинарное firmware в количестве 4 штук добавить в пакет не могут, а про код так вообще молчу. Зато стабильный, чё)

anonymous
()
Ответ на: комментарий от AdonisSexyBoy

Уверен что debian патч не наложил на дырку? Оно не надо все новые фичи фиксить, достаточно дыру патчем закрыть.

peregrine ★★★★★
()
Ответ на: комментарий от AdonisSexyBoy

но там уязвимостей правда нету

ой лол, нету, ахахха.

anonymous
()
Ответ на: комментарий от anonymous

Создали десктопную версию с минимум вливания «от себя любимых». Голый upstream а-ля Archlinux. Только под 64 битные и армы. Сук, даже guix с их 3.5 колеками сумели это реализовать.

Так создай, дистростроители что должны хотелки рандомных челов делать?

Сук, даже guix с их 3.5 колеками сумели это реализовать.

Ну так если есть то пользуйся. Чё ты ноешь то? Нет блин на марсе ёлки не растут я ебал, блять на земле растут даже в самой жопе, а на марсе не растут!

anonymous
()
Ответ на: комментарий от anonymous

По крайней мере есть X86. Один из немногих дистрибутивов. Manjaro32 и Ubuntu вот не смогли и сдохли, а Debian для 32 битных интелов ещё живёт…

fsb4000 ★★★★★
()

Потому что исправления нарушают стабильность.

Пусть будет уязвимо, зато стабильно уязвимо.

anonymous
()
Ответ на: комментарий от fsb4000

Шизики с третьими пнями тоже скоро сдохнут.

anonymous
()

исправляются в течении определённых разумных сроков.

Ты требуешь неразумных сроков.

grem ★★★★★
()
Ответ на: комментарий от anonymous

Поэтому с таким подходом не стоит удивляться, что Debian рассматривают только как образ для контейнера.

anonymous
()
Ответ на: комментарий от anonymous

рассматривают только как образ для контейнера

Разве это не относится к линуксу в целом уже?

anonymous
()
Ответ на: комментарий от peregrine

Уверен что debian патч не наложил на дырку?

Ну только если тайно, не сохраняя это в истории.

Это вам батенька на винду, линуксу вы только вредите

А чем плоха моя задумка? Преимущества вроде бы понятны, появились же flatpak, snap, uwp.

AdonisSexyBoy
() автор топика
Ответ на: комментарий от anonymous

Ты попробуй добавить пакет в Debian и тот же … Gentoo.

Пробовал. Добавлял.

Единственная заморочка - требования QA на основании документации по оформлению ebuild, чтобы он не абы как был написан. В противном случае у половины пользователей он не соберётся даже.

Далее всё упирается во время сопровождающего и проверяющего твой пакет человека - ему его ещё просмотреть нужно и самому собрать хотя бы.

Сейчас эта проблема частично решена возрождением sunrise overlay в виде guru overlay (рекомендую) с чуть более мягкими правилами. Если пакет популярный, то можно перевести его в основной репозиторий, если его присутствие там интересно кому-нибудь из разработчиков.

Остаётся вариант самому стать разработчиком и добавлять то, что хочется в разумных пределах.

… а, ты о сложности добавления в Debian только :) Да, в Gentoo разработчики в этом плане достаточно дружелюбны.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от AdonisSexyBoy

Вреда от этих введений намного больше пользы. Вместо централизованного управления у нас теперь зоопарк из стороннего говна и костылей, за которые автор (сборщик пакета) мамой клянётся, что это не троянец. В репах хоть понятно что за люди и где собирают софт, а в каких-то левых билдах для флатпака вообще могут совсем левые люди что-то собирать.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 3)
Ответ на: комментарий от peregrine

Странный упрек, Slackware же отличный дистрибутив, явно не виндовс стайл в твоем понимании, у меня в нем схема похожая, но не такая удобная как хотелось бы.

Базовая система это стабильная 14.2, а приложения ставятся новых версий из слакбилдов, или пересобираются. Для GIMP пришлось пару базовых библиотек пересобрать, но обычно обхожусь без этого.

Tor кстати был обновлен вовремя: http://slackbuilds.org/repository/14.2/network/tor/

AdonisSexyBoy
() автор топика
Ответ на: комментарий от peregrine

flatpak, snapd, uwp же изолированны, троянцев можно не боятся. Мне текущие реализации этого подхода тоже не нравятся, но это же не проблема разделения на базовую систему и софт.

AdonisSexyBoy
() автор топика
Ответ на: комментарий от fsb4000

Анстейбл же, метапрог и о тестинге не очень хорошо отзывался.

AdonisSexyBoy
() автор топика
Ответ на: комментарий от anonymous

Debian рассматривают только как образ для контейнера.

Эмм, нет. Что за бред? У меня он как рабочая, домашняя и игровая станция вот уже 8 лет (как на линукс перешёл так и). Множество ответвлений в виде дистрибутивов для более узких задач. Он универсален, по настоящему универсален. Те кто линуксы только в контейнерах юзают обычно не его пользователи, а всякие полуадмины в виде девопсов и прочие. Или те кто крутиться с серверами и нормальной жизни не видели у них весь мир в образах да контейнерах. Ну это их травмы, остальные то причём?

anonymous
()
Ответ на: комментарий от AdonisSexyBoy

flatpak, snapd, uwp же изолированны, троянцев можно не боятся

Во-первых, не изолированны, это всё враки, вся их изоляция обходится в 10 строк кода максимум (да, самым дебильным методом в лоб, гуглится за 5 минут), с песочницами в линуксе всё принципиально плохо, потому что безопасность на правах и распределении доступа между юзерами заложена, а дальше пляски вокруг этой архитектуры. Более того ты даже отдельное приложение от сети отрезать надёжно не можешь. Т.е. если автор софтины запарился, то она гарантированно будет иметь возможность ходить в инет, только если ты совсем его iptables-ом не вырубил.

Во-вторых, твой linux kernel никакому троянцу не нужен, чтобы его украсть или зашифровать, он и так на гите и в репе каждого дистра валяется, особенно на десктопе. Нужен твой юзерспейс, в котором ты и работаешь с софтом из флатпаков.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 4)
Ответ на: комментарий от AdonisSexyBoy

Ты воообще, ну вот совсем не понимаешь о чём говоришь. Есть онлайн трекеры пакетов, в дистрибутиве есть apt source пакет качай смотри патчи какие есть и ещё куча всего для мониторинга и проверки в случае надобности. Бери да смотри, а не выдумывай.

А чем плоха моя задумка? Преимущества вроде бы понятны, появились же flatpak, snap, uwp.

Тем что ты имея микроскопический уровень знаний по теме что-то предлагаешь даже не вникая в суть проблем которые эти вещи решают и даже видимо не подозреваешь какие проблемы оно приносит. Хорошо, но в конце то концов бери да сделай. В чём проблема? Это же по твоим словам во первых легко, во вторых правильно. Вот и сделай. Почему ты твои хотелки хочешь что-бы кто-то за тебя делал? Сам собирай сообщество и начинайте делать.

anonymous
()

В баяне такая себе идея смотреть на циферки. Они бекпортируют сесурити патчи, при этом версия пакета остается прежней, но добавляется деб-версия в виде суффикса, поэтому правильнее смотреть в ченжлог. Обычно все важное они латают в первые же дни и часы.

slowpony ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.