Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-04-18 12:49:01

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

[Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Hej, w ciągu ostatnich kilku tygodni niekorzystania z Debiana podczas, których dość często, myślałem na różne tematy związane z projektem, w mojej głowie zrodziło się kilka wątpliwości. Naszczęście, większość z nich udało mi się w taki, czy inny sposób rozwiać, o tyle kwestia flashplayera pozostaje otwarta. Otóż na stronie Debian Security Faq, w pytaniu dot. nieoficjalnych części projektu tzw. contrib and non-free, napisana jest interesująca rzecz odnośnie sposobu w jaki traktowane jest bezpieczeństwo znajdujących się w owych sekcjach pakietów - The short answer is: it's not.. Niemniej, w dalszej części możemy przeczytać, że If it is possible to fix the problem, and the package maintainer or someone else provides correct updated packages (...). Nieźle.

Jak wiemy, Adobe nie udpostępnia kodu źródłowego, więc według wspomnianego tekstu, w tych przypadkach poprawki bezpieczeństwa nie mogą być wydane. I tu pojawia się moja wątpliwość. Przeglądając ostatnio stronę dot. zagadnień (bezpieczeństwa) mających wpływ na kolekcję portów FreeBSD, odkryłem, że dnia 10 kwietnia br. ukazał się komunikat linux-flashplugin — multiple vulnerabilities. Z tego co się orientuję w Ubuntu, również pojawiły się stosowne aktualizacje. Wersja flashplayer'a to 11.2r202.228, natomiast w Squeeze jest to 1:2.8.2 (flashplugin-nonfree). W wersjach Testing oraz Sid numeracja jest podobna. Dlaczego na stronie Debiania nie było wzmianki nt. tej aktualizacji? Czy wynika to z faktu o którym wspominałem wcześniej (zamknięte źródła etc)? A może czegoś nie rozumiem bądź niedoczytałem, i tylko wygłupiłem się zakładając ten temat?

Ostatnio edytowany przez remi (2012-04-20 17:29:49)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#2  2012-04-18 12:59:46

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Pakiet flashplugin-nonfree to tylko skrypt pobierający flasha. Żeby zaktualizować flasha sam musisz wywołać update-flashplugin-nonfree --install i on wtedy powinien pobrać najnowszego jaki jest dostępny: forum.dug.net.pl/viewtopic.php?pid=180244#p180244. Ale nie martw się, jeszcze gorzej jest w sekcji non-free. :) Tam np. java z gigantycznymi dziurami bezpieczeństwa leży sobie w stable jak gdyby nigdy nic: packages.debian.org/squeeze/sun-java6-jre.

Offline

 

#3  2012-04-18 14:28:48

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Serwus Arn! Wiesz, trochę obawiałem się takiej odpowiedzi. Faktycznie, polecenie, które podałeś (gdzieś już je widziałem) pobrało stosowny pakiet. Teraz pojawia się pytanie jak ominąć ręczne wpisywanie co jakiś czas wspomnianego polecenia. W podanym przez Ciebie linku, jest coś na ten temat, ale... sam nie wiem jak to zrobić. Może jakiś prosty skrypt w katalogu domowym z prawem do wykonywania? Fakt, będzie startował za każdym razem, ale... a może cron? Wiesz, trochę zmartwiło mnie to, bo od początku korzystania z Debiana żyłem w nieświadomości. Rozwiązałeś to w jakiś sposób? Jest jeszcze gnash, ale...

p.s. w/w polecenie ściągnie i podmieni wersję flasha? Po sprawdzeniu via about:plugins, okazało się, że wersja wynosi 11.2 r202. Niestety, nie wiem jak to wyglądało zanim dowiedziałem się o tym...


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#4  2012-04-18 16:31:16

  lx - Użytkownik

lx
Użytkownik
Zarejestrowany: 2010-06-22

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Powinno wystarczyć utworzenie baaardzo prostego skryptu np. w /etc/cron.weekly/flashplugin-nonfree:

Kod:

#!/bin/sh
update-flashplugin-nonfree --install --quiet

I nie zapomnieć o "chmod +x flashplugin-nonfree" :)

Co do drugiego pytania: krótki opis działania programu jest w jego manie.

Swoją drogą, to rzeczywiście w Debianie nie jest to najlepiej rozwiązane, skoro skrypt uruchamia się domyślnie tylko przy aktualizacji pakietu, a ostatnia jego wersja ma już ponad rok. Z drugiej strony opiekun pakietu też ma swoje racje (#475580).

Offline

 

#5  2012-04-18 17:32:20

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

remi napisał(-a):

Rozwiązałeś to w jakiś sposób?

Ja zazwyczaj nie używałem flashplugin-nonfree, tylko flashplayer-mozilla z repo debian-multimedia. Tamten to pakiet faktycznie zawierający flasha i aktualizowany jest normalnie przez jego opiekuna. A update-flashplugin-nonfree może być w cronie, może być w rc.local nawet (zależy jak kompa używasz).

lx napisał(-a):

skoro skrypt uruchamia się domyślnie tylko przy aktualizacji pakietu

Z tego wątku co wcześniej linkowałem wynika, że on się nawet wtedy sam nie uruchamia. :) Dziwne, że w ogóle przy instalacji od razu się uruchamia, a nie trzeba wywołać go ręcznie. ;) Przy takim podejściu wręcz miałoby to sens, użytkownicy chociaż od razu wiedzieliby, że muszą to robić sami.

Offline

 

#6  2012-04-18 19:31:55

  lx - Użytkownik

lx
Użytkownik
Zarejestrowany: 2010-06-22

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

ArnVaker napisał(-a):

Z tego wątku co wcześniej linkowałem wynika, że on się nawet wtedy sam nie uruchamia. :) Dziwne, że w ogóle przy instalacji od razu się uruchamia, a nie trzeba wywołać go ręcznie. ;) Przy takim podejściu wręcz miałoby to sens, użytkownicy chociaż od razu wiedzieliby, że muszą to robić sami.

Hm, no to rzeczywiście wyjątkowy przypadek ;) Opiekun pakietu zachowuje się jakby nigdy o debconfie nie słyszał...

Offline

 

#7  2012-04-19 17:58:50

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

@Arn; Wiesz, chyba po prostu dodam repo multimedia i przeskoczę na flashplayer-mozilla, z powodu, który wymieniłeś. Muszę to jeszcze przemyśleć. Chociaż skrypt, czy choćby wpis w rc.local również są jakimś rozwiązaniem. A napisz mi jeszcze, czy ten pakiet także trzeba aktualizować "ręcznie"? Napisałeś, że aktualizowany jest normalnie przez jego opiekuna, ale szczerze mówiąc, nie widzę go np. na stronie dot. ogłoszeń nt. informacji bezpieczeństwa, z czego wnioskuję, że konieczna jest aktualizacja w sposób podobny do pakietu z sekcji contrib-nonfree. A może się mylę?

@lx; prościej już chyba nie można. Czyli reasumując: tworzę plik /etc/cron.weekly/flashplugin-nonfree, nadaję mu prawo wykonywania korzystając z polecenia chmod, i to wszystko? Żadna ingerencja via polecenie crontab -e nie jest już potrzebna, prawda? Oczywiście stosowne usługi muszą być uruchomione. Doprawdy dziwie się sobie, że zadaję tak proste pytania.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#8  2012-04-19 18:15:33

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

remi napisał(-a):

A napisz mi jeszcze, czy ten pakiet także trzeba aktualizować "ręcznie"? Napisałeś, że aktualizowany jest normalnie przez jego opiekuna, ale szczerze mówiąc, nie widzę go np. na stronie dot. ogłoszeń nt. informacji bezpieczeństwa, z czego wnioskuję, że konieczna jest aktualizacja w sposób podobny do pakietu z sekcji contrib-nonfree. A może się mylę?

Aktualizuje się normalnie, czyli tak jak inne pakiety (via aptitude full-upgrade itp.). Nie ma o nim nic na stronach Debiana ponieważ repozytorium debian-multimedia.org nie jest częścią Debiana. To tylko prywatne nieoficjalne repozytorium, aczkolwiek bardzo znane. Gdybyś zdecydował się go używać możesz obniżyć mu priorytet żeby inne pakiety niepotrzebnie nie były z niego instalowane lub aktualizowane.

Możesz to zrobić np. dodając do /etc/apt/preferences poniższy wpis:

Kod:

Package: *
Pin: release o=Unofficial Multimedia Packages
Pin-Priority: 100

Inna sprawa, że tam też flash potrafi być czasem lekko nieaktualny… Na przykład teraz. ;)

http://flashbuilder.eu/flash-player-version.html

Offline

 

#9  2012-04-19 20:19:55

  lx - Użytkownik

lx
Użytkownik
Zarejestrowany: 2010-06-22

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

remi napisał(-a):

@lx; prościej już chyba nie można. Czyli reasumując: tworzę plik /etc/cron.weekly/flashplugin-nonfree, nadaję mu prawo wykonywania korzystając z polecenia chmod, i to wszystko? Żadna ingerencja via polecenie crontab -e nie jest już potrzebna, prawda? Oczywiście stosowne usługi muszą być uruchomione. Doprawdy dziwie się sobie, że zadaję tak proste pytania.

Najlepiej sprawdzić i zobaczyć czy działa ;) Aktualizacja musi odbywać się z uprawnieniami roota, stąd nie ma potrzeby angażowania w to konta innego użytkownika.

Offline

 

#10  2012-04-19 21:04:15

  yantar - Użytkownik

yantar
Użytkownik
Skąd: Galicja
Zarejestrowany: 2009-06-09

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Ja chciałbym tylko dodać, że znów zepsułem sobie głowę czytając temat o bezpieczeństwie pakietów i wykonałem magiczne update-flashplugin-nonfree --install (a co tam). Dzięki czemu mój Iceweasel zaczął crashować przy próbie wejścia na serwer w QuakeLive z flashem 11.2 na pokładzie. Jak ktoś ma gdzieś linka do paczki z wersja 11.1 r 102 flasha to ja z miłą chęcią wezmę (nawet razem z jego dziurami ;d)

Offline

 

#11  2012-04-19 21:07:25

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

yantar: w /var/cache/flashplugin-nonfree powinieneś mieć poprzednie wersje.

Offline

 

#12  2012-04-19 21:47:01

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

"Aktualizuje się normalnie, czyli tak jak inne pakiety" - to mi w zupełności wystarczy. Wiesz Arn, głównie chodzi o pozostałych użytkowników. To z ich powodu szukam teraz jakiegoś rozwiązania. Myślę, że skoro ten pakiet może być aktualizowany za pomocą  aptitude tudzież apt-get przystanę na tym. Dodatkowo, zaznaczenie opcji odpowiedzialnej za aktualizację w tle (niestety, zapomniałem w którym graficznym narzędziu jest ona dostępna), spowoduje absolutne, totalne zapomnienie o aktualizacjach, co w tym przypadku jest rzeczą niezwykle pożądaną, i pozwoli im skupić się na typowym, codziennym korzystaniu z komputera. Wszystko w imię wygody typowych użytkowników, dla których potrzeba aktualizowania czegokolwiek, często jest czymś zupełnie obcym (co ciekawe, kwestia wyboru innej dystrybucji tzw. userfriendly została pogrzebana, przez samych zainteresowanych). No i pozostaje kwestia, mojego coraz częstszego, braku czasu na zajmowanie się tą instalacją.

@yantar; na 2.óch systemach obeszło się bez crashów przeglądarki Iceweasel po magicznym update-flashplugin.

@lx; wszystko rozumiem.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#13  2012-04-19 22:01:49

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

najlepiej aktualizaować np. co tydzień, co 3-4 dni w cron ale w skrypcie z wyskakującą konsolą
(przez np. xterm -e) by widzieć zmiany. nie zawsze jest bezproblemowo a jest to o wiele bezpieczniejsze.

to moje zdanie.


http://img34.imageshack.us/img34/5092/zw9m.png http://img29.imageshack.us/img29/219/pibw.png

Offline

 

#14  2012-04-19 22:25:43

  yantar - Użytkownik

yantar
Użytkownik
Skąd: Galicja
Zarejestrowany: 2009-06-09

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

ArnVaker napisał(-a):

yantar: w /var/cache/flashplugin-nonfree powinieneś mieć poprzednie wersje.

Niestety już sprawdzałem, tylko najnowsza paczka.

Offline

 

#15  2012-04-19 22:51:25

  marcin'82 - Użytkownik

marcin'82
Użytkownik
Zarejestrowany: 2011-10-02

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Stąd na przykład można pobrać:

Kod:

wget http://ftp.vim.org/ibiblio/distributions/pclinuxos/pclinuxos/apt/pclinuxos/2010/RPMS.nonfree/flash-player-plugin-11.1.102.63-1pclos2012.i586.rpm

Kod:

rpm -qa | grep flash
flash-player-plugin-11.1.102.63-1pclos2012

Też się skusiłem na polecenie aktualizacji i nagle youtube zamarł - bezczelnie podmieniłem libflashplayer.so i teraz gra ;]

Ostatnio edytowany przez marcin'82 (2012-04-19 22:52:40)

Offline

 

#16  2012-04-19 22:54:39

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Na oficjalnej stronie w sumie też wiszą starsze wersje…

11.1.102.63 32-bit: fpdownload.macromedia.com/get/flashplayer/pdc/11.1. … x.i386.tar.gz
11.1.102.63 64-bit: fpdownload.macromedia.com/get/flashplayer/pdc/11.1. … x86_64.tar.gz

marcin'82 napisał(-a):

Też się skusiłem na polecenie aktualizacji i nagle youtube zamarł

Dziwne. ;)

Offline

 

#17  2012-04-19 22:57:23

  marcin'82 - Użytkownik

marcin'82
Użytkownik
Zarejestrowany: 2011-10-02

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Ano dziwne. Objawami był czarny pusty ekran playera i żadnego menu spod PPM ... Plik polecam zapisać, bo miejsca na dysku nie wyleży, a przydać się może ;]

Offline

 

#18  2012-04-19 23:05:30

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

U mnie jest:

Kod:

root@laptop:/home/mati75# update-flashplugin-nonfree --install
root@laptop:/home/mati75#

i wszystko niby działa.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#19  2012-04-20 16:58:43

  yantar - Użytkownik

yantar
Użytkownik
Skąd: Galicja
Zarejestrowany: 2009-06-09

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Dzięki chłopaki za linka. U mnie było wsio ok na Operze i FF tylko niestety QuakeLive pada przy łączeniu się do serwera (wtedy wyświetla się 10- cio sekundowa reklama flash i na tym crashowało przeglądarkę.

Offline

 

#20  2012-04-20 17:29:01

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Hejka, myślę, że wszystko jest już na tyle jasne, że mogę potraktować ten temat jako rozwiązany. Dzięki serdeczne!


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#21  2012-04-20 17:44:09

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Wracając jeszcze do głównego zagadnienia… Debian to tylko sekcja main repozytorium i tylko pakiety z tej sekcji mają wsparcie bezpieczeństwa. Pakiety z sekcji contrib oraz non-free nie są częścią Debiana, nie mają wsparcia bezpieczeństwa, a każdy kto ich używa powinien mieć tego świadomość.

Offline

 

#22  2012-04-20 19:33:28

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Arn masz całkowitą rację! Można zaryzykować twierdzenie, że im więcej zainstalowanych jest pakietów z tych właśnie sekcji, tym bardziej "niebezpieczny" staję się nasz system, prawda? Jedynym wyjściem z tej dość kuriozalnej sytuacji, wydaje się śledzenie na własną rękę komunikatów dot. znalezionych luk w tych paczkach. Żałuję jeszcze jednego, chociaż żałuję to być może nieodpowiednie słowo, braku pewnych funkcji bezpieczeństwa, które mam nadzieję pojawią się w przyszłym wydaniu Stabilnym. Na jednej z list mailingowych, czytałem, że Deweloperzy planują wprowadzenie kilku ciekawych rzeczy. Pisząc funkcje bezpieczeństwa, mam na myśli choćby te znane z Ubuntu, zwłaszcza w wersji 12.04 (https://wiki.ubuntu.com/Security/Features). To doprawdy wygląda zadowalająco. Oczywiście, nie mam zamiaru rozpoczynać dyskusji na ten temat, porównywać oba systemy etc. Wyraziłem jedynie swoją opinię. Nic więcej.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#23  2012-04-20 20:53:13

  rafi - Użytkownik

rafi
Użytkownik
Skąd: Częstochowa
Zarejestrowany: 2006-03-12

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

Moim zadaniem szkoda czasu deweloperów Debiana na takie głupstwa. Nadrzędnym celem deweloperów powinno być wyeliminowanie zamkniętego oprogramowania a nie przejmowanie na siebie odpowiedzialności za jego ułomność. Youtube ma od dawna alternatywnego playera działającego w HTML5, więc lepszym rozwiązaniem byłaby prosta, wolna wtyczka umożliwiająca Iceweaselowi korzystanie z systemowego kodeka x264. Ja w każdym razie Flasha nie mam a oporne filmiki puszczam w Minitube albo SMPlayerze.


Furie terribili!
Circondatemi,
Sequidatemi
Con faci orribili!

Offline

 

#24  2012-04-20 22:02:28

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

da się puszczać filmy youtube w smplayer?


http://img34.imageshack.us/img34/5092/zw9m.png http://img29.imageshack.us/img29/219/pibw.png

Offline

 

#25  2012-04-20 22:06:18

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: [Solved] Kwestia aktualizacji bezpieczeństwa pakietów "contrib".

dominbik: w wersji 0.7.0 to dodali. Wystarczy linka wkleić albo przeciągnąć na okno programu, w opcjach można wybrać preferowaną rozdzielczość.

PS Pisałem już kiedyś o tym w odpowiedzi na Twojego posta właśnie. :D

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)