Да я немного охренел, прочитав вот эту новость https://www.opennet.ru/opennews/art.shtml?num=50876

КСЖ, мы все умрем! Серьезно.

ужас-ужас

108 критических дырок в либреофисе!

For distributions that promise to backport all security fixes that

creates a situation where it's almost impossible to keep that promise, they just don't have the manpower to scale up at the same speed as people find bugs. Maybe the main takeaway here is to just recognize that, and maybe distros should be more honest here and be clear what they can and can't do. And if you run a parser in a high risk environment you may not want to rely on the outdated version shipping in some LTS distribution.

В ощщем, LTS с бэкпортингами устарели и не нужны, только роллинг-релиз с последними сборками из гитмастера, только хардкор!

А ответ в том, что все эти cve это лишь возможность для репортящего ей пропиарить себя как Ъспециалиста по безопасности. Реслно на поиск и испавление уязвимостей всем покласть.

А ответ в том, что все эти cve это лишь возможность для репортящего ей пропиарить себя как Ъспециалиста по безопасности.

Не, смысл CVE в том, что ты можешь посмотреть какие уязвимости (и насколько серьезны) исправлены в upstream, и далее решить, нужно ли тебе обновляться либо бэкпортить.

Для специалиста по безопасности CVE это хорошо, но публикация различных исследований считается более Ъ.

С базы CVE информация о уязвимостях автоматически расходится по разным базам безопасности конкретных дистров с которых пользователь может выполнив 1 команду проверить свою установку на наличия уязвимостей и даже закрыть их обновлением безопасности, например в Gentoo есть glsal-check.

Скрывать уязвимость 90 дней, чтобы разрабы могли спокойно разобраться и профиксить это норма.

Нужно использовать стабильную ветвь Hardened Gentoo.

Использовать технологии безопасности которые закрывают сразу целые классы уязвимостей, включая 0-day.

Сегодня обновляясь можно подцепить гораздо больше троянов. Так что обновляется просто так скорее пойдёт во вред.

ответ в том что это фаззинг, т.е. какие-то рандомные данные, которые возможно никогда в реальности никто и не будет в программу пихать
да и последствия от этого — одно дело если как-то можно использовать для выполнения вредного кода, а другое дело что программа просто падает и крешится
Тем более это полу/автоматический процесс. А потом разгребать это вручную.

Краш на рандомных данных - это потенциально выполнение кода. Разгребать надобно.

Hardened Gentoo.

так оно же rip. Или ты предлагаешь, старыми патчами grsec пользоваться?

Уязвимости в том и состоят, что какер пихает какие-то данные, про которые считалось, что их никто никогда не пихнёт. Но они не рандомные, а содержат например зловредный код.

108 критических дырок в либреофисе!

Пздц. Пошел покупать и скачивать винду и офис365, там хотя бы инфа о _дырах_ не в публичном доступе. Жесть иваная.

Да, так твои бекдоры хороши спрятаны от общественных глаз.

Однако илита может легко зайти к тебе сзади (бекдор же) и ты ничего не почуствуешь, даже спасибо скажешь и денег еще им дашь.

Оно живёт и процветает, версию ядра новой астра линукс смотрел?

Напиши им письмо с требованием GPL-2 свободно распространять изменения. Должны дать, проси подписанный gpg патч.

Как страшно жить.

don't have the manpower to scale up at the same speed as people find bugs

Не пора ли перенаправить человекосилы с поиска багов на переписывание софта?

чтоб ещё на порядки больше багов производить? не-не-не

что значит «никто не будет». будет. вот дядька злой посмотрит что пихали, и сделает свой документ для либры или картинку запилит.

ты лучше подумай что твой дверной замок могут взломать и ночью прийти и задушить тебя подушкой
вот где дыра так дыра