Forum Debian Users Gang

remi · 2012-07-02 16:38:38

Cześć, mam krótkie pytanie, które nurtuje mnie od dawna. Chodzi o aktualizacje, głównie te dotyczące bezpieczeństwa. Mianowicie, dlaczego np., kiedy Ubuntu 10.04 (specjalnie ta wersja, ze względu na podobną w stosunku do Squeeze, wersję kernela - 2.6.32) w dniu 29 czerwca bieżącego roku, naprawia kilka błędów Security Notice USN-1492-1, natomiast w ogłoszeniach Debiana nie ma na ten temat najmniejszej wzmianki? Przypominam, że - domyślnie - oba systemy korzystają z kernela z serii 2.6.32. Oczywiście nie wspominam o możliwych aktualizacjach, zmianach wersji, ponieważ to jest dosyć oczywiste.

Być może chodzi o to, że w/w przykład błędów, nie jest tak bardzo istotny i Deweloperzy Debiana nie zdecydowali się na komunikat. Albo - pomimo podobnych numerków - oba systemy tak naprawdę korzystają z zupełnie innych kerneli, oczywiście opartych na oficjalnym, ale z dodatkiem swoich patchy etc. Dodam jeszcze, że podobnie sytuacja wygląda z innymi pakietami, np. Gentoo dnia 25 czerwca 2012 r ogłasza GLSA 201206-36 odnoszący się do logrotate, ale Debian milczy w tym temacie. Jak to jest? Znowu czegoś nie rozumiem, czy jest to normalne?

remi · 2012-07-31 22:21:42

Hej, pisanie wiadomości za wiadomością podyktowane, jest tylko chęcią zwrócenia uwagi na - prawdopodobną - odpowiedź na pytanie zawarte w tym temacie. Otóż, sądząc po oficjalnej treści, wspomnianego komunikatu GLSA dot. pakietu logrotate, znaleziona luka zdaje się tyczyć - tylko(?) - systemu Gentoo Linux, co poniekąd wyjaśnia brak reakcji ze strony Deweloperów Debiana. Wspomniane ogłoszenie zawiera interesującą treść: The default configuration of logrotate on Gentoo Linux.... Natomiast całość wygląda w ten oto sposób:

Kod:

logrotate: symlink and hard link attacks
Package(s):    logrotate     CVE #(s):    CVE-2011-1549
Created:    June 26, 2012     Updated:    June 27, 2012
Description:     From the CVE entry:

The default configuration of logrotate on Gentoo Linux uses root privileges to process files in directories 
that permit non-root write access, which allows local users to conduct symlink and hard link attacks 
by leveraging logrotate's lack of support for untrusted directories, 
as demonstrated by directories under /var/log/ for packages.
Alerts:     
Gentoo     201206-36     2012-06-25

Wygląda na to, że w jakimś stopniu znalazłem odpowiedź na nurtujące mnie pytanie, które zawarłem w 1.ym poście. Mam tylko nadzieję, że jest w tym ziarenko prawdy...

Yampress · 2012-08-01 14:27:03

zapytaj opiekuna pakietu logrotate

remi · 2012-08-01 15:52:40

Odnoszę wrażenie, że nie do końca zrozumieliśmy się. Głównym założeniem tego tematu, była chęć dowiedzenia się, dlaczego istnieją takie, nazwijmy je rozbieżności, między Dystrybucjami w odniesieniu do aktualizacji pakietów. Jeśli o mnie chodzi, to byłem przekonany, że skoro Dystrybucja A łata jakąś dziurę, to pozostałe B,C, D etc. także podejmą stosowne działania. Jak się okazało, wygląda to troszeczkę inaczej. Logrotate wraz z Gentoo było jedynie przykładem, podobnie zresztą jak Ubuntu i aktualizacja kernela 2.6.32. Z przytoczonego w moim 2.im poście komunikatu, wynika, że owy problem z logrotate odnosił się właśnie tylko(?) do Gentoo - The default configuration of logrotate on Gentoo Linux (...). Z tego zdania wnioskuję, że owa niezgodność, rozbieżność odnośnie aktualizacji poszczególnych pakietów, jest czymś zupełnie normalnym. Dlatego właśnie Debian nie opublikował 2.óch komunikatów dot. np. kernela (patrz 1. post; Ubuntu) oraz logrotate.

bns · 2012-08-01 16:10:09

Wszystko to jest w gestii paczkujących.
Na takim Ubuntu może szybciej łatają niż na Debianie, może na Ubuntu była nałożona wcześniej łata przez nich, która zawierała akurat błąd stąd jajko Debiana nie musi być łatane.

azhag · 2012-08-01 16:21:54

Tu z pewnością będą znali odpowiedź: http://lists.debian.org/debian-security/

remi · 2012-08-01 17:17:24

Słusznie Azhag. Wiesz, myślałem nawet o tym, ale miałem wątpliwości co do... powagi tego pytania. Po prostu nie chciałem, aby ludzie, którzy biorą czynny udział, poprzez udzielanie się na tej liście mailingowej i de facto zajmują się rzeczami naprawdę ważnymi, nie musieli tracić czasu odpowiadając na tego typu pytania. Poza tym, wydaje mi się, że już znalazłem odpowiedź, dzięki Deweloperom Gentoo i ich komunikacie.

Bns również podsunąłeś ciekawą tezę, ale - moim zdaniem - miesięczny poślizg w aktualizacji, zwłaszcza kernela, jest czymś niepojętym.

fervi · 2012-08-01 20:09:30

Niby tak, ale jak mi się kernel kraszuje (tak mi się wydaje) to system jako tako działa i nie ma problemów

W każdym razie myślę, że jest tak, że patch idzie np. do Ubuntu, a potem do głównego kernela, a jak jest ok, to idzie do wszystkich. Aktualizację w Debianie są głównie przez to, że jest błąd (Stable), a wątpię, by istniała jakaś korelacja między Gentoo, a Debianem i jak jest nowa wersja pakietu (łatana) to wtedy wchodzi.

Moja Teoria :D

Fervi

Pavlo950 · 2012-08-01 20:21:21

fervi napisał(-a):
Niby tak, ale jak mi się kernel kraszuje (tak mi się wydaje) to system jako tako działa i nie ma problemów

Dziwne, mógłbyś to wyjaśnić?

fervi · 2012-08-01 20:23:03

Jak np. na wirtualnej maszynie działałem i przeciążyłem normalny system to dostawałem komunikat o Soft Bugu, albo jak dostawałem sporo różnych linijek o crashu (Call trace). Tak mi się wydaje, że to o to chodzi :D

Fervi

bns · 2012-08-02 09:21:16

remi napisał(-a):
Bns również podsunąłeś ciekawą tezę, ale - moim zdaniem - miesięczny poślizg w aktualizacji, zwłaszcza kernela, jest czymś niepojętym.

Jak widzisz występują takie opóźnienia :) Tu masz status tych dwóch błędów w Debianie
http://security-tracker.debian.org/tracker/CVE-2012-2319
http://security-tracker.debian.org/tracker/CVE-2012-2313

BTW CentOS, Oracle Linux korzystają z tych samych źródeł dla budowy pakietów (Red Hata EL) ale różnice w wydawaniu pakietów pomiędzy CentOS i Oracle są różne, raz jedni wydadzą szybciej raz drudzy.

remi · 2012-08-02 21:36:13

bns; tak, jeśli chodzi o CentOS, to wiem, że ma miejsce coś takiego. Czyli reasumując, jest to najzupełniej normalne zjawisko?

fervi · 2012-08-03 00:44:07

Ja bym się martwił, czy wszystkie poprawki wpadają do kodu źródłowego :P Mam nadzieję, że nie na darmo reportuję

Fervi

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-02 16:38:38

remi - amputować akrobatów

Różnice dot. aktualizacji pomiędzy dystrybucjami?

#2 2012-07-31 22:21:42

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

Kod:

#3 2012-08-01 14:27:03

Yampress - Imperator

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#4 2012-08-01 15:52:40

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#5 2012-08-01 16:10:09

bns - unknown

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#6 2012-08-01 16:21:54

azhag - Admin łajza

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#7 2012-08-01 17:17:24

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#8 2012-08-01 20:09:30

fervi - Użytkownik

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#9 2012-08-01 20:21:21

Pavlo950 - człowiek pasjonat :D

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

fervi napisał(-a):

#10 2012-08-01 20:23:03

fervi - Użytkownik

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#11 2012-08-02 09:21:16

bns - unknown

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

remi napisał(-a):

#12 2012-08-02 21:36:13

remi - amputować akrobatów

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

#13 2012-08-03 00:44:07

fervi - Użytkownik

Re: Różnice dot. aktualizacji pomiędzy dystrybucjami?

Stopka forum