Участники команды Debian Security Team подвели итоги (https://lists.debian.org/debian-devel-announce/2014/03/msg00...) состоявшейся в феврале встречи разработчиков. Среди прочего, сообщается о возможности реализации расширенной поддержки (LTS) для прошлой стабильной ветки Debian Squeeze. В соответствии с устоявшейся практикой, поддержка прошлой стабильной ветки прекращается спустя год после выпуска очередного значительного релиза. Время поддержки Debian Squeeze истекает в мае. В случае воплощения плана по приданию Debian Squeeze статуса LTS, обновления с устранением уязвимостей будут выпускаться значительно дольше.

Обновления планируется поставлять через отдельный репозиторий squeeze-lts. Выпуск обновлений  будет ограничен для архитектур  amd64 и i386. Кроме того, на некоторые пакеты, в силу их специфики, не будет распространяться расширенная поддержка. С другой стороны, планируется ограничить время поддержки для некоторых видов пакетов из состава Wheezy, таких как браузеры на базе движка WebKit.

Из планов, в отношении будущих выпусков, отмечается переход на улучшенную систему защиты по переполнения стека, которая появится в GCC 4.9 (-fstack-protector-strong). В настоящее время для около 95% стандартных или приоритетных пакетов (priority:standard или выше) обеспечена возможность сборки с включением (https://wiki.debian.org/HardeningWalkthrough) дополнительной защиты (https://wiki.debian.org/Hardening) через dpkg-buildflags (дополнительные проверки формирования строки, D_FORTIFY_SOURCE, защита стека и т.д.). Рассматривается возможность включения по умолчанию опции монтирования hidepid=1 для procfs, при которой пользователю запрещён  вход в поддиректории /proc/pid/ с данными о непринадлежащих ему процессах, что позволит защититься от целого класса проблем, связанных с утечкой информации.

Также планируется пересмотреть подготовку исправлений для уязвимостей, связанных с атаками через символические ссылки. В поставляемом в Wheezy ядре включена опция блокирования подобных атак (fs.protected_symlinks), что позволяет рассматривать некоторые категории связанных с символическими ссылками уязвимостей как неопасные для пользователей дистрибутива. С другой стороны, подобная функция не включена для сборок на базе ядер FreeBSD и Hurd, поэтому будут рассмотрены способы реализации аналогичной защиты для данных платформ.

URL: https://lists.debian.org/debian-devel-announce/2014/03/msg00...
Новость: http://www.opennet.me/opennews/art.shtml?num=39248