LINUX.ORG.RU

Дискуссия о потенциальных проблемах безопасности в Debian

 , ,


3

3

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

anonymous

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)
Ответ на: комментарий от Deleted

Если нечто ведёт себя, как троян, выглядит, как троян - почему бы ему и не ходить в интернет, как трояну.

Но эта фигня вылазит даже на компьютере, где нет интернета.

buratino ★★★★★
()
Ответ на: комментарий от Vudod

По хоботу бы тебе дать, нубасик. Ну что за клевета? Во-первых, все пункты мимо, во-вторых, настрой, как тебе удобнее, а в-третьих, софт в стабильном дебиане свежее, чем в убунте 14.04. Разве что ты базар устроил у себя с помощью ппа-варезников.

anonymous
()
Ответ на: комментарий от FedyaPryanichkov

В шапке этого пакета просто нет. Собственно, это политика дистра такая, в итоге он вообще неюзабелен без сторонних репозиториев.

leave ★★★★★
()
Ответ на: комментарий от buratino

Они таймбомбу проглядели.

За такое западло его сами без просьбы из дистрибутива удалить должны. Мы же не на винде, в самом деле ))

curufinwe ★★★★★
()
Ответ на: комментарий от shahid

Им ещё кто-то пользуется?

Я пользуюсь, например. Одного анонимуса достаточно?

anonymous
()

А вся правда в том что не осталось больше нормальный дистрибутивов кроме Ubuntu и co. Все кто не хочет красноглазить уже давно на Ubuntu и co. А остальные - это либо ынтерпрайз либо 1% от 1% пользователей Linux на маргинальных дистрибутивах.

dnf83
()
Ответ на: комментарий от buratino

А вообще, раньше на десктопе я использовал sid+experimental.

Я тоже, пока не обжегся этим летом по самое нехочу. Теперь из дебиана только стейбл признаю.

Пишу вот из Iceweasel 38, и страхом боюсь, что будет, когда оно обновится до Firefox 45.

А ничего страшного, использую их оба каждый день и разницы особой не вижу.

curufinwe ★★★★★
()
Ответ на: комментарий от dnf83

Правда, только не Убунту, а Минт. Убунту - дружелюбная настройка над Дебианом. Минт - дружелюбная надстройка над Убунтой. Там ещё несколько таких слоёв - и при вводе пароля надо будет добавлять «пожалуйста» и «будьте так любезны, если вас не затруднит».

buratino ★★★★★
()
Ответ на: комментарий от curufinwe

из дистрибутив-ОВ. все дистрибутивы должны озаботиться «а чё там понапихано».

buratino ★★★★★
()
Ответ на: комментарий от Maks7lu

Винда-туфта,но однажды привыкнув к определённой версии какой-то программы,пользователь уверен что он сможет поставить эту версию в любой выпуск винды.

А потом приходит ПРОБУЖДЕНИЕ :}

Deleted
()

Они там совсем поехавшие, в ентом вашем дебьяне.

paran0id ★★★★★
()
Ответ на: комментарий от FedyaPryanichkov

Как эти проблемы решают Red Hat и CentOS?

Энтерпрайз же (т.е. для предприятия), подразумевается что есть локал сайт вендор и он сам накомпиляет и будет сопровождать на своей инфраструктуре в своих корпоративные репах всё что надо и с той скоростью и политикой какой надо, пользуясь премуществами мега стабильной™ (в терминах API и ABI) платформы*. А так число поддерживаемых пакетов ничтожно, по меркам других дистрибутивов.
___________
* Необходимым условием стабильности является чтение эрраты перед минорными обновлениями и бэкап.

d_a ★★★★★
()
Ответ на: комментарий от dnf83

А вся правда в том что не осталось больше нормальный дистрибутивов кроме Ubuntu и co

Если самый нормальный десктопный Линукс это Ubuntu сотоварищи, то десктопный Линукс в глубочайшей жопе(

Deleted
()
Ответ на: комментарий от Wind

У меня за 3 года вообще никаких багов не всплывало почти. На той же убунте, емнип, проблем было гараздо больше.

actics
()

Кстати, господа, что будут делать дебианы и рхелы 12 апреля когда обновят самбу? А если там будет не патч на 5 строк, а что-нибудь серьезное?

actics
()

Ой мама дорогая «политика» чего-то нифига не помешала им впилить ненужноД. Ну о чем еще можно говорить, впилить вещь которая сама по себе постоянно ломается в «стабильный» дистр. Dixi.

anc ★★★★★
()
Ответ на: комментарий от anc

«политика» чего-то нифига не помешала им впилить ненужноД

ободряещее замечание

anonymous
()
Ответ на: комментарий от dnf83

А вся правда в том что не осталось больше нормальный дистрибутивов кроме Ubuntu и co.

Че там с ABI и API в твоем «нормальном» дистрибутиве хотя бы для LTS? Интересовался? Еще посмотри hadrware enablement stack и «отличную» документацию.

andrew667 ★★★★★
()
Ответ на: комментарий от dada

sid

тестинг разве не для таких вот случаев ?

всё так!

mumpster ★★★★★
()
Ответ на: комментарий от mandala

Ну я видил, полегчало?
Мне вот нифига не радостно от того что появился ненужноД. Использую пока 6 и 7.

anc ★★★★★
()
Ответ на: комментарий от buratino

ps. Мне звезду погасили. :) Теперь я больше не окябрёнок :) Слава капитализму, долой СССР :)

Так ведь все знают, что звизду дают за хорошее поведение. Если звиздатый пацан, то это ещё не означает, что он умный и хороший собеседник.

anonymous
()
Ответ на: комментарий от Rinaldus

У Ubuntu LTS более взвешенная политика, и в качестве серверного дистрибутива

У вас там ничего не рвет когда ненужноД или нм что-то без вас решил? Или это серверный локалхост ?

anc ★★★★★
()
Ответ на: комментарий от anc

Использую пока 6 и 7

Шестерки уже нет. Только семерка. НенужноД ненужно, но что делать? Не всё коту масленица.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Шестерки уже нет

Как это нет? На днях в контейнер вгонял, вроде не новый год и трезвый был. Я что-то не так как вы сделал?

anc ★★★★★
()
Ответ на: комментарий от anc

У вас там ничего не рвет когда ненужноД или нм что-то без вас решил?

Ну рвёт тут пока только у тебя. При том знатно.

Polugnom ★★★★★
()
Ответ на: комментарий от anc

Слака пока рулит

Среди горстки сектантов.

Я сейчас выбираю дистрибутив, на который мигрировать с генты, и зашёл было на slackware.com. Первое, что увидел: дата последней новости - лето 2013 года, про выход новой версии дистрибутива. Стало быть, Plasma 5 в нём нет. Подумал: может, можно будет обновиться до пятой Plasma после установки? Но потом вспомнил, что Slackware - труЪ-Линукс, в том смысле, что в Линуксе пользователю приходится быть сам-себе-сисадмином, а в труЪ-Линуксе - ещё и пакетным менеджером. Вспомнил и закрыл slackware.com нафиг.

P.S. Там ещё есть магазин, где можно купить Slackware DVD за $50. Пхахаха, серьёзно? Ну реально секта какая-то))

Deleted
()
Ответ на: комментарий от anc

Эм... У меня шестерки уже нет, не точно выразился.

mandala ★★★★★
()

Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

Это прямое следствиет того факта что пишут программу один человек/команда а потом её собирают не вникая подробно другие люди (дистрибутивщики). Я уже писал в другой теме что линковать статически зависимости (за исключением некоторых типа glibc) имеет свои преимущества. Толку от этих дистрибутивщиков мало т.к. они всё равно не вникают детально в программу а просто компонуют всё в кучу большой лопатой, а ведь в программе каждая мелочь может иметь катастрофические последствия.

iluha16
()
Ответ на: комментарий от lagavulin16

А ещё в дебиане не могут осилить jitsi из-за каких-то школьных проблем.

Не знаю из-за каких проблем, но было бы интересно узнать. Тем более, что на самом jitsi.org если все deb-пакеты, даже ночные сборки.

Но и linphone тоже не могут обновить. 31 июля 2013 года залили 3.6.1. В феврале 2014-го взялись за 3.7.0. Потом в мае 2015-го за 3.8.2. Но ни одного релиза. Хотя бы организовали какую-нибудь доску объявлений: не релизим из-за привнесений такого-то нового (нежелаемого) поведения, таких-то багов, специфичных для дебиана. Если не хватает способностей, могли бы поставит флаг help-needed. А так просто ни релиза, ни объяснений. Тишина. Если бы они хотя бы вот эту политику поменяли и сделали пакетирование прозрачнее.

gag ★★★★★
()
Ответ на: комментарий от Deleted

Для лубителей новизны, на current посмотреть никак рученки не дошли?

anc ★★★★★
()
Ответ на: комментарий от Rinaldus

Не все норм. Пока не починят ненужноД не буду считать готовым для десктопа сервера

anc ★★★★★
()
Ответ на: комментарий от iluha16

А вот и любители перекачивать полдистрибутива на каждый секьюрити апдейт подтянулись :}

Deleted
()
Ответ на: комментарий от Deleted

Уже пробовали?
Если серьезно, я вроде как совсем не против негров ненужнод. Но вот все-таки что-то в них нем есть не такое... Даже тут любители его готовить соглашаются с тем что он не готов для сервера.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Ну как, «у меня всё работает», но тут лучше самому пробовать, мало ли там что у тебя.

Deleted
()
Ответ на: комментарий от Deleted

Ну по крайней мере для меня это вообще не проблема т.к. я имею быстрое подключение. Те же полтора человека которые в 2016 сидят на дайлапе могут и дальше экономить трафик в ущерб безопасности и пользоваться криво собранными пакетами. Никакой дистрибутивщик не может так хорошо знать что происходит в программе как её [программы] разработчик, а на практике дистрибутивщики скорее всего даже не заглядывают в исходники а просто тупо компонуют всё прочитав README.

iluha16
()
Ответ на: комментарий от Wind

И проблем помимо сабжа много, пример одной из многих проблем плохая интеграция systemd в дистрибутив.

тогда гента вообще самый проблемный дистр в мире, там можно вообще как нормальный человек без systemd жить

upcFrost ★★★★★
()

Проблемы с хранилищами не новость. Вспоминается shotcut и DeaDBeeF и ещё куча ныне забытых прыщепрог которые просто были выпилены из репок из-за того что тупо некому поддерживать.

EvilFox ★★
()
Последнее исправление: EvilFox (всего исправлений: 1)
Ответ на: комментарий от upcFrost

В восьмом дебиане, в принципе, тоже можно. Можно даже выбирать из трёх инитов. Но.... зачем? По-моему, если система работает, то последнее, что должно волновать - каким оно инитом стартует.

buratino ★★★★★
()
Ответ на: комментарий от curufinwe

Сам раньше думал, что арч это глюкодром

Тогда попробуй Федору недошапку, если так думал. Помню релиз Heisenbug назывался, прочёл определение этому слову, понял - хорошую вещь так не назовут. И подтвердилось полностью конечно после установки.

, пока не установил его.

Я думал, что арч - запара, пока не установил. Оказывается - удобно и приятно, а о каких глюках речь - искренне не понимаю. С глюками - всё дело в Шляпе.

fehhner ★★★★★
()
Ответ на: комментарий от sudopacman

В федоре тоже.

Захочу настолько «свежий» софт - не буду запариваться с переустановкой, а просто подключу себе тестинг репозиторий. На Арче. А не от барыг красношляпиков-пендосов, которые отбирают лицензии у пользователей из России.

fehhner ★★★★★
()
Ответ на: комментарий от curufinwe

Вообще, в данном случае, я считаю что мейнтейнеры дебиана не виноваты, а виноват разработчик этой софтины. Багтрекера нет, багрепорты на почту принимает

Вот-вот, раз на почту принимает - реально его вина! Что ему, спам-фильтр на слово Debian не настроить?? И жил бы спокойно, без этого мозго**ства и скандалов.

fehhner ★★★★★
()
Ответ на: комментарий от fehhner

Я сначала хотел на федору перейти, а не на арч. Но ее инсталлятор упорно хотел переразбить диск в gpt, хотя у меня обычный биос, не легаси режим, а настоящий старый биос. В итоге я послал ее лесом и поставил арч.

curufinwe ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.