История изменений
Исправление Pinkbyte, (текущая версия) :
что там небезопасного в статически вкомпиленном декодере mp3, читающем музычку с диска, а не из сети?
А как отсутствие сети повлияет на возможность воспроизвести специально сформированный файл(который ты занесешь любым способом, вплоть до флоппинета) который будет опасен для уязвимой версии библиотеки, которую некий апстрим вбивает в свою программу? Мы не говорим конкретно сейчас о какой либо программе, просто представь себе гипотетическую ситуацию(на примере гентушного workflow):
Есть либа A). С ней линкуется софт B), а софт C) содержит старую версию либы статически, причем об этом мэйнтэйнеры не знают. В либе А находят уязвимость позволяющую сделать выполнение кода от текущего пользователя(пусть это будет 'rm -rf $HOME' для колорита ситуации :-)), либу патчит апстрим, выходит новая версия. Мэйнтэйнер делает пакет, проверяет, не сломала ли либа всё, что от нее зависит и, т.к. это security issue, форсирует стабилизацию без ожидания стандартных 30 дней. Если всё ОК - данную версию стабилизируют и всё что было слинковано динамически автоматически перестает быть уязвимым. А вот софт C) - нет. И об этом никому не известно. А теперь внимание вопрос - это нормально?
Особенно если при этом ты сообщаешь об этой проблеме апстриму софта C) а он говорит: «Я хз чо это за либа, УМВР, ничего не знаю ни про какую безопасность, никаких патчей не принимаю»? Ну и кто тут виноват и что нужно делать, просвети меня?
И почему именно гентушники/слаковцы/авторы ещё одного стопятидесятого дистра считают, что именно они смогут вовремя наложить нужные патчи, а не редхет + дебиан?
нужные по безопасности патчи должны накладываться сразу же а информация о проблеме должна уходить в апстрим. Потому что если апстрим будет не в курсе - он это никогда и не исправит
Исходная версия Pinkbyte, :
что там небезопасного в статически вкомпиленном декодере mp3, читающем музычку с диска, а не из сети?
А как отсутствие сети повлияет на возможность воспроизвести специально сформированный файл(который ты занесешь любым способом, вплоть до флоппинета) который будет опасен для уязвимой версии библиотеки, которую некий апстрим вбивает в свою программу? Мы не говорим конкретно сейчас о какой либо программе, просто представь себе гипотетическую ситуацию(на примере гентушного workflow):
Есть либа A). С ней линкуется софт B), а софт C) содержит старую версию либы статически, причем об этом мэйнтэйнеры не знают. В либе А находят уязвимость позволяющую сделать выполнение кода от текущего пользователя(пусть это будет 'rm -rf $HOME' для колорита ситуации :-)), либу патчит апстрим, выходит новая версия. Мэйнтэйнер делает пакет, проверяет, не сломала ли либа всё, что от нее зависит и, т.к. это security issue, форсирует стабилизацию без ожидания стандартных 30 дней. Если всё ОК - данную версию стабилизируют и всё что было слинковано динамически автоматически перестает быть уязвимым. А вот софт C) - нет. И об этом никому не известно. А теперь внимание вопрос - это нормально?
И почему именно гентушники/слаковцы/авторы ещё одного стопятидесятого дистра считают, что именно они смогут вовремя наложить нужные патчи, а не редхет + дебиан?
нужные по безопасности патчи должны накладываться сразу же а информация о проблеме должна уходить в апстрим. Потому что если апстрим будет не в курсе - он это никогда и не исправит