LINUX.ORG.RU

Дискуссия о потенциальных проблемах безопасности в Debian

 , ,


3

3

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

anonymous

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 1)
Ответ на: комментарий от leg0las

Почему костыль? Реальность такова, что дистрибутив делают одни люди, вне-, кроссдистрибутивное и закрытое ПО - другие. /opt отражает эту реальность.

tailgunner ★★★★★
()
Ответ на: комментарий от curufinwe

ну, большинство обычных юзеров не хотят даже глядеть на linux, потому что за 20 лет столько насмотрелись подобных агрессивных полудурков, кричащих «**** - идеален! там всё работает! всё, что не работает - это ваши проблемы, это потому что вы тупые!», что не хотят подходить к этим системам даже близко, потому что считают, что там сплошь больные люди, истеричные фанатики с монополией на правду, а адекватностью и компромиссами и не пахнет. И, знаете, они правильно считают. Потому то в linux и не микроядро... тьфу, потому то венда всех и хавает.

ps. Все на OpenBSD, товарищи. В гораздо более адекватный мир!

buratino ★★★★★
()
Ответ на: Debian не умеет от Camel

Конфликты придуманы, если я правильно понимаю, как раз для того чтобы не ломать обновлениями имеющуюся инфраструктуру. Как ведёт себя Guix в случаях если необходимое обновление библиотек для обновляемого Вами софта приведёт к поломке зависимостей для других программ?

flyshoot
()
Ответ на: комментарий от buratino

Ну ты дал. Я преподаю в вузе почти на всех курсах, все студенты с ноутбуками, есть линуксоиды. Среди моих занятий есть посвященные понятию об операционных системах, естественно что про линукс постоянно речь заходит. Я никогда за него никого еще не агитировал.

На основании своего опыта такого плана могу сказать, что ты пишешь бред. Ни один человек, с которым я заговаривал про линукс, толком и линуксоида не видел. Мало нас. Тем более об агрессивности и сектанстве они даже и не подозревают. А сидят на винде только из-за стереотипов, нежелания узнавать новое и огромнейшей распространенности винды, которая тянется еще с тех пор, когда линукса на десктопе не было. Никаких больных линуксоидов они не знают и не видели. Так оно по инерции и идет. Что такое микроядро, 99.999999999% людей и не догадывается, и болт они на него ложили.

curufinwe ★★★★★
()
Ответ на: комментарий от tailgunner

А кроссдистрибутивное и закрытое ПО, которое входит в состав дистрибутива? Где грань между «входит в состав, есть в репе» и «не входит, ставится в /opt»?

leg0las ★★★★★
()
Ответ на: комментарий от flyshoot

ЩИТО?

Как ведёт себя Guix в случаях если необходимое обновление библиотек для обновляемого Вами софта приведёт к поломке зависимостей для других программ?

ЩИТО?

В Guix'е конфликты принципиально невозможны.

Camel ★★★★★
()
Ответ на: комментарий от curufinwe

Во-первых, причём здесь ты. Но такое мнение про «linux-мир» за 20 лет я слышал ни раз, ни два, ни сто и даже не тысячу раз". Этот стереотип уже успел вкрепиться.

Бред тут пишешь ты. Я и девочек и суровых таможенников переводил на linux по причине «мне так удобнее» - ничё, им тоже становилось удобнее, и жизнь налаживалась.

Про нас. По указанным выше причинам, я хоть и пользуюсь системами на базе linux, но предпочитаю себя считать и ощущать OpenBSD-шником. Там лучший мир, несмотря на многочисленные недостатки. Если Linux будет завтра чем-то ужасным, позорным и постыдным - не расстроюсь, нам больше достанется. Хотя, повторюсь, мне никогда не приходит в голову противопоставлять Debian и Arch, Debian и OpenBSD - если мне надо, я пользуюсь всеми тремя, это не больно, не страшно и бесплатно.

buratino ★★★★★
()
Ответ на: комментарий от buratino

Это тебе таможенники сказали, что пользователи линукса - психи, и поэтому они боятся линукса? Вот насмешил. От кого ты это услышал?

curufinwe ★★★★★
()
Ответ на: комментарий от curufinwe

Это тебе любой не-linux-форум скажет. Я таких дискуссий наблюдал сотни, от новостных сайтов до сайтов любителей вышивке крестиком и прочих сексуальных утех и извращений.

Впрочем, любой linux-форум тебе скажет то же самое.

buratino ★★★★★
()

топик: Дискуссия о потенциальных проблемах безопасности в Debian

Заходишь в тред - троллячат арчеводов :D

smolnij
()
Ответ на: комментарий от buratino

Мы с тобой точно по разные стороны зеркала живем. Но так видимо устроен мир, не первый раз с этим сталкиваюсь.

Это тебе любой не-linux-форум скажет. Я таких дискуссий наблюдал сотни, от новостных сайтов до сайтов любителей вышивке крестиком и прочих сексуальных утех и извращений.

Я не читаю форумов об утехах, но общаюсь по работе с толпами людей, именно о темах ОС в том числе, причем они понятия не имеют, что я линуксоид. И ни разу подобного мнения не встречал. То что читая лор его можно составить, я не спорю. Есть у нас студенты линуксоиды, никаких проблем во взаимоотношении с одногруппниками я ни разу не видел. И сам был в студенчестве уже плотно на линуксе, никто меня не боялся и психом не считал, хотя высказаться о проблемах в винде и преимуществах линукса иногда любил.

curufinwe ★★★★★
()
Ответ на: комментарий от buratino

Генту же скатили похуже дебиана сейчас, вот гентушники уже и не прыгают.

curufinwe ★★★★★
()
Ответ на: комментарий от curufinwe

Я не читаю форумов об утехах, но общаюсь по работе с толпами людей, именно о темах ОС в том числе, причем они понятия не имеют, что я линуксоид. И ни разу подобного мнения не встречал.

Ну ща мож поутихло потихой. Остались только арчеры и гентушники, остальные давно успокоились.

А вот годе этак в 2000 плюс минус несколько лет - холивары windows vs linux велись даже в клубе велосипедистов и коллекционеров фантиков жвачки *Turbo*

buratino ★★★★★
()

Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия.

Пусть идет в пень с такими заявлениями.

Xintrea ★★★★★
()
Ответ на: ЩИТО? от Camel

Но ведь разные программы могу использовать одну библиотеку. И вот вы хотите обновить одну программу, которой будет нужна новая версия библиотеки, но не трогать другую. Как в этой ситуации поведёт себя это Guix? Я чего-то не понимаю?

flyshoot
()
Ответ на: комментарий от kedr

Stagg

Сорри за оффтоп. А на каком дистре сам то?

В основном Guix, ещё стоит Ubuntu.

Но мой Stagg BC302 сейчас занимает у меня гораздо больше времени чем мой ноутбук.

Camel ★★★★★
()
Последнее исправление: Camel (всего исправлений: 1)
Ответ на: комментарий от unixnik

Я что-то не пойму, как они исправляют уязвимости не исправляя ошибок?

так же, как многие. как редхэт. как опенбсд.

исправление ошибок - это функциональная часть. если у тебя вчера калькулятор 2+2 показывал 5, то это штабильность. он и завтра будет показывать 5, поведение работы не должно меняться. в крайнем случае - новую версию запихнут в бэкпорты и ты сам будешь выбирать, новое с новыми неизвестными ошибками или старое со старыми и знакомыми ошибками.

а уязвимость - это то, через что тебя могут поломать. дыры, переполнения буфера и так далее. если самым простым способом исправления безопасности будет удаление пакета - его удалят. решето в репозитории никто не оставит. пусть оно даже показывает 5 на 2+2

buratino ★★★★★
()

Мейнтейнеры дебиана - мудаки. Если хотите распространять свою версию, то тогда ее и поддерживайте. Думаю можно у дебиана потребовать, чтобы написали, что версия которую они используют не поддерживается. Этот парень слишком вежливый, надо с такими дисскуссии в стиле Торвальдса вести.

spec_po_kiskam ★★★
()
Ответ на: комментарий от flyshoot

Вы чего-то не понимаете

Но ведь разные программы могу использовать одну библиотеку. И вот вы хотите обновить одну программу, которой будет нужна новая версия библиотеки, но не трогать другую. Как в этой ситуации поведёт себя это Guix?

Как обычно. Обновит программу, установит обновлённую версию библиотеки. Обновлённая программа будет прекрасно работать со свежей версией библиотеки, необновлённая прекрасно продолжит работать со старой. Как же может быть иначе?

Я чего-то не понимаю?

Да, вы не понимаете как работает Guix. Чем читать мой неумелый пересказ лучше сами почитайте документацию.

Camel ★★★★★
()
Ответ на: комментарий от unixnik

Я что-то не пойму, как они исправляют уязвимости не исправляя ошибок?

Очень плохо.

Сам подход подвержен ошибкам на каждом из этапов. Нужно курить диффы чужого кода, разбираться чтов этом диффе исправление безопасности а что другая фича (и разбираться не всегда правильно) править патчи самостоятельно (и вносить новые ошибки), т.к. это исправление уже опирается на другой более новый код, а в дебьяне пакет до сих пор прошлогодний.

Такой подход будет работать только для небольшого набора качественных пакетов с красивым исходным кодом, тогда мейнтейнеры будут примерно знакомы с пакетами и лажать реже. А в дебьяне пакетов тыщщи

smolnij
()

Интересно,как теперь поступит Дебиан,удалит XScreenSaver из репозиториев или просто забьёт на разработчика? Ну не новый-же релиз делать из-за него.

Maks7lu
()
Ответ на: комментарий от Maks7lu

уже поступили. вырезали этот пасхальный троян из кода, и всё. опенсорц же.

buratino ★★★★★
()
Ответ на: комментарий от Deleted

Потому-что разрабы, видимо, полагают что я сейчас всё брошу и побегу конпилять его софтиночку, превращая свой любимый дистрибутив в слаку.
При-чём зачастую этим страдают какие-о софтины которые мне нужны раз в пол года и работа которых меня полностью устраивает.

MrClon ★★★★★
()

Убунта очень ошиблась с выбором базы.

Deleted
()
Ответ на: комментарий от Gibson1980

уж такую быстро развивающуюся софтину могли бы и посвежее держать.

А там чел мейнтейнер сказал, что ему денег надо зарабатывать, а не благотворительностью заниматься. Т.е. мейнтейнерские полномочия он с себя не сложил, всё таки хороший пункт для резюме, хотя времени на поддержку больше нет. Вот за это сидение на двух стульях мне не нравятся некоторые дебиановские мейнтейнеры.

А другие просто принципиально не обновляют софт (даже на новый баг-фикс релиз). Работает? Так зачем вам апдейт? Баги исправили? А вы их сами уже словили? Ещё нет - тогда и не нужно.

gag ★★★★★
()

С нетерпением жду чем все закончится.

andregin
()
Ответ на: комментарий от zloelamo

Специально для таких как вы я сижу на Арче и Роухайде, пишу на багзиллах и трекерах, помогаю непускать тем самым некоторые баги в релизы программ. Не благодарите.

anonymous
()
Ответ на: комментарий от darkenshvein

все потребляют дебиан! Никто не хочет быть мейнтейнером пакетом, ни одна ленивая жопа!

Туда не пускают. А говорят, ты поработай на мейнтейнеров, они будут публиковать твою работу, как свою. Может, после какого-то времени они и позволят тебе выйти из этого рабства и получить таки титул. Такого в open source не должно быть. Ведь после получения титула тебе тоже больше не нужно париться, а можно просто сказать: «Баги? Эй, у меня мало времени. Не устраивает - patches are welcome. Точка.»

gag ★★★★★
()
Ответ на: Stagg от Camel

И это правильно, музыка наше всё. Посмотрел версии пакетов, год разницы. Да и пишут большими буквами - бэта. Так что или закапываться по уши или на другой дистр.

kedr
()

И при всем этом они притащили в debian systemd...

segfault ★★★★★
()
Ответ на: комментарий от smolnij

Я что-то не пойму, как они исправляют уязвимости не исправляя ошибок?

Очень плохо.

Еще один иксперд выбежал.

Все серьезные дистрибутивы исправляют ошибки именно так. Это вообще единственный способ.

Если в твоем говноарчике делают по другому, то только от того, что он вообще серьезно нигде не используется. Это очередная никому не нужная хипстерская поделка.

anonymous
()
Ответ на: комментарий от flyshoot

Любое количество

Или Вы могли бы просто написать, что Guix имеет механизмы для работы более одной версии одной библиотеки в системе.

И вы бы продолжили думать, что GuixSD это такой Gentoo, который умеет более одной версии библиотеки в системе. А штука в том, что Guix без труда поддерживает любое количество версий программа в системе, и работает совсем не как Gentoo.

Camel ★★★★★
()
Ответ на: комментарий от anonymous

Наш человек :) Но мне лень писать репорты, поэтому сразу шлю патчи.

h4tr3d ★★★★★
()
Ответ на: комментарий от leg0las

А кроссдистрибутивное и закрытое ПО, которое входит в состав дистрибутива?

А такое есть? Примеры.

Где грань между «входит в состав, есть в репе» и «не входит, ставится в /opt»?

Лежит оно в стандартном репозитории или нет (со последствиями вроде «за обновления отвечает команда дистра»).

tailgunner ★★★★★
()

Пользователи Debian завалившие почту чуваку не использующему баг трекер. Программисты в поисках самых последних самых свежих фич для любого софта. В этом отношении, если нет желания админить свой реп. из которого надо тянуть пакетики, то решение с PPA было самым привлекательным. Вот тебе стабильное окружение, в котором максимум баги закрывают. Хочешь себе свежую версию конкретного софта ищи PPA подключай и используй.

Вообще всем дистрам нужны бесконечные тренинги ,видео статьи о том как собирать ,тестировать пакеты и прочее.... иногда на такую жуть наткнешься.

DR_SL ★★★★★
()

Вся проблема от того, что этого xscreensaver 5.34 нет в jessie-backports

sniper21 ★★★★★
()
Ответ на: комментарий от smolnij

Ну, я свои аргументы привел, а у вас что?

А то, что никто в никаких диффах исправления безопасности не ищет. Безопасностью занимаются не мейнтейнеры, а специальные команды.

Тут сравнивать не с чем. Арчик это просто сборище хипарей, которые ни про индустрию, ни про безопасность ничего не знают. Обычные десктопные хомячки с апломбом.

anonymous
()

Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

А есть и один противоположный пример. Мейнтейнер ffmpeg в дебиане (он же соразработчик ffmpeg) вёл очень длинную дискуссию с коллегами-разработчиками ffmpeg, чтобы отменить один тривиальный патч, который ломает совместимость с vlc. Он мог просто тупо наложить эти две строчки в дебиане, ан нет - ему таки удалось уговорить комитнуть это в сам ffmpeg. Интересно, есть ли ещё такие положительные примеры?

gag ★★★★★
()
Ответ на: комментарий от tailgunner

А такое есть? Примеры.

Секция non-free в deiban например. Можно считать? nvidia drivers/catalist, rar/unrar, virtualbox (части). Еще opera (которой правда нет в репе) by default ставит себя в /usr/lib/opera.

leg0las ★★★★★
()
Ответ на: комментарий от gag

Вот ещё, кстати, случай вспомнил. В gnome-chess 3.4 (и других gnome-chess 3.x младше) был забавный баг, когда взятие на проходе можно было делать любой фигурой, и после этого игра начинала косячить не по детски. Я тогда написал в апстрим и в дебиан - не помню, в какой последовательности, но в гноме это починили в 3.6, а в дебиане баг был закрыт с «починено в 3.6». но в Debian Wheezy в эти шахматы поиграть было нельзя, ибо там остался гном 3.4, и никто этот фикс не бэкпортнул, ибо стабильность :)

buratino ★★★★★
()
Ответ на: комментарий от leg0las

Секция non-free в deiban например. Можно считать?

ЕМНИП, там обычно есть исходники, хотя и не свободные, так что у мейнтейнеров есть определенная степень контроля. Поэтому логично, что оно ставится в /usr или /. То, что мейнтейнеры дистра не контролируют, живет в другой иерархии. Абсолютно логично, в чем костыльность?

tailgunner ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.