The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Gentoo прекращает отслеживание уязвимостей, специфичных для ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от opennews (ok) on 06-Июн-17, 22:03 
Участники проекта Gentoo, занимающиеся формированием обновлений с устранением уязвимостей, сообщили (https://archives.gentoo.org/gentoo-announce/message/25ae524a...) о решении исключить  SPARC из числа архитектур для которых осуществляется сопровождение проблем с безопасностью. Решение не означает полный отказ от выпуска обновлений с устранением уязвимостей в  пакетах SPARC, а лишь свидетельствует о прекращении анализа специфичных для SPARC уязвимостей и выпуске уведомлений GLSA не дожидаясь стабилизации пакетов с исправлениями для SPARC. При этом большинство уязвимостей не привязаны к конкретным архитектурам и для устранения подобных уязвимостей обновления продолжат формироваться в том числе и для SPARC.


URL: https://archives.gentoo.org/gentoo-announce/message/25ae524a...
Новость: http://www.opennet.me/opennews/art.shtml?num=46662

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +10 +/
Сообщение от bircoph (ok) on 06-Июн-17, 22:03 
Просто людей не хватает для своевременного тестирования пакетов на SPARC, им мало кто пользуется сейчас. В stable он, наверное, останется, но с минимумом пакетов, необходимых для stage3. На unstable ничто не повлияет.

Проблема вызвана тем, что у нас уязвимость считается закрытой, только когда исправление попало в stable всех архитектур. Соответственно, если arch team не справляется вовремя со стабилизацией, баг может висеть месяцами, соответственно, мейнтенеры пакетов не могут удалить старую какашку.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –8 +/
Сообщение от Michael Shigorin email(ok) on 06-Июн-17, 22:11 
Возможно, ещё и время сборки важно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от bircoph (ok) on 08-Июн-17, 17:56 
Нет, со временем сборки больших проблем нет. Для желающих arch-тестировать обычно есть удалённо доступное железо.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-17, 09:20 
Или у людей не хватает доступа к соответствующему железу.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Аноним (??) on 07-Июн-17, 14:22 
У людей хватает доступа к соответствующему QEMU.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от АнонимХ (ok) on 07-Июн-17, 15:39 
Seriously? Почему бы не назвать архитектуру тогда spark_qemu? А qemu тестировать на этом дистрибутиве, да. Змея ест свой хвост
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от irinat (ok) on 07-Июн-17, 16:50 
Ты просто никогда не пробовал собирать под QEMU. Чтобы починить fails to build from source под MIPS у меня ушло несколько дней. Сборка программы, которая на не самом мощном хосте собиралась меньше минуты, в QEMU занимала десятки часов.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от Led (ok) on 07-Июн-17, 18:49 
> Ты просто никогда не пробовал собирать под QEMU. Чтобы починить fails to
> build from source под MIPS у меня ушло несколько дней. Сборка
> программы, которая на не самом мощном хосте собиралась меньше минуты, в
> QEMU занимала десятки часов.

Если правильно организовать сборочницу, то собирать можно всего лишь в 1,5-2 раза медленнее, чем родной x86_64 софт.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от irinat (ok) on 07-Июн-17, 22:45 
> Если правильно организовать сборочницу, то собирать можно всего лишь в 1,5-2 раза
> медленнее, чем родной x86_64 софт.

Инструкцию в студию.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от Led (ok) on 08-Июн-17, 00:02 
>> Если правильно организовать сборочницу, то собирать можно всего лишь в 1,5-2 раза
>> медленнее, чем родной x86_64 софт.
> Инструкцию в студию.

Да ну? тебе - и "инструкцию"?:)

В двух словах: пропихиваешь в сборочницу вместо "честных" наиболее ресурсоёмких тулз/пакетов нативные заменители (кросс gcc/g++, bash, flex, bison, tar, gzip, etc.)

Собирать, естественно, под qemu-user.

А точная инструкция сильно зависит от того, в чём собираешь (в гентах и прочих рачах - не представляю как).

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +1 +/
Сообщение от irinat (ok) on 08-Июн-17, 00:55 
Я уж думал, что ты мне про экспериментальный state-of-the-art рекомпилятор расскажешь.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

27. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Аноним (??) on 07-Июн-17, 20:09 
> Чтобы починить fails to build from source под MIPS у меня ушло несколько дней.

Кросс-компиляцию не осилил?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от irinat (ok) on 07-Июн-17, 22:44 
>> Чтобы починить fails to build from source под MIPS у меня ушло несколько дней.
> Кросс-компиляцию не осилил?

Кросс-компиляцией всё собиралось. Проблема была в том, что не собиралось на железе.

Кросс-компиляция это всё же не совсем то же, что и сборка на самой платформе. Так можно достичь состояния, когда собранный софт работает в QEMU, но не работает на реальном железе. И толку тогда?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Аноним (??) on 08-Июн-17, 14:13 
Если тулчейн не кривой, то таких проблем быть не должно. А для воспроизводимости сборки, само собой, кросс-тулчейн должен полностью соответствовать нативному, до версий всех компонентов.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от irinat (ok) on 08-Июн-17, 17:56 
> Если тулчейн не кривой, то таких проблем быть не должно. А для
> воспроизводимости сборки, само собой, кросс-тулчейн должен полностью соответствовать
> нативному, до версий всех компонентов.

Определение "прямоты" тулчейна — это идентичность поведения? А проверять её без железа как?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Аноним (??) on 10-Июн-17, 09:55 
Странно слышать от тебя такое. Кросс-компиляция - это абсолютно то же самое, что и сборка на самой платформе. Не с -march=native ли собираешь?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

3. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от chinarulezzz (ok) on 07-Июн-17, 03:28 
гентушники, что там с hardened?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Аноним (??) on 07-Июн-17, 10:12 
а что не так с hardened?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +1 +/
Сообщение от Аноним (??) on 07-Июн-17, 14:22 
Потеря доступа к GRsecurity/PaX.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Аноним (??) on 07-Июн-17, 17:27 
ну там не потеря доступа, а потеря доступа к бекпортам

grsecurity сказали что не будут выпускать свой патчсет бесплатно для чего-то кроме самых последних ядер. т.е. перекладывают заботу по поддержанию на дистр/юзера.

а так-то hardened работает,  всё норм:

Linux 4.8.17-hardened-r2 #10 SMP PREEMPT Wed May 3 03:31:11 EEST 2017 x86_64 Intel(R) Core(TM) i7-3632QM CPU @ 2.20GHz GenuineIntel GNU/Linux

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

28. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от grsec (ok) on 07-Июн-17, 21:10 
Сейчас норм. В перспективе все плохо. Взамен предлагают только selinux.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от bircoph (ok) on 08-Июн-17, 18:02 
Да, работает, но 4.8 и 4.9 будет. А дальше всё, приплылми, Pax/GrSecurity team не будет больше ничего выкладывать.

Теоретически любой обладатель платной подписки может выложить код, GPLv2 же, но PaXTeam может аннулировать после этого их подиску. Увы, но GPL от подобного террора не защищает.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

39. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от crz on 08-Июн-17, 18:55 
> Да, работает, но 4.8 и 4.9 будет. А дальше всё, приплылми, Pax/GrSecurity
> team не будет больше ничего выкладывать.
> Теоретически любой обладатель платной подписки может выложить код, GPLv2 же, но PaXTeam
> может аннулировать после этого их подиску. Увы, но GPL от подобного
> террора не защищает.

gentoo team  может оформить подписку, наверное... договориться с pax/gr team о поддержке их ядер.

В генту рассылках обсуждается? Я не ходок просто, и видел что в ру-комюнити много генту-разрабов.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от bircoph (ok) on 09-Июн-17, 13:18 
> gentoo team  может оформить подписку, наверное...

Нет, мы некоммерческая организация. Кроме того, смысл покупать? Есть Gentoo Social Contract, поэтому если мы купим, то обязаны будет это всем открыть, что сразу приведёт к отзыву подписки.

> договориться с pax/gr team о поддержке их ядер.

Пробовали, не вышло.

> В генту рассылках обсуждается?

Да, на gentoo-hardened ML достаточно долго обсуждали.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

37. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от bircoph (ok) on 08-Июн-17, 17:59 
> гентушники, что там с hardened?

Народ пока что думает. Скорее всего, ветка 4.9 будет поддерживаться максимально долго. За это время должно подоспеть что-нибудь ещё, например, kpatch таки перенесёт самые важные вещи из PaX в ванильное ядро.

А так, конечно, выходки PaXTeam сильно ударили по сообществу.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

43. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от grsec (ok) on 10-Июн-17, 14:42 
Это не выходки ударили. Просто толстожопые корпоративы совсем обнаглели.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

5. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Ilya Indigo (ok) on 07-Июн-17, 04:10 
Что-то новостей про Arch совсем нету. :-(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от Я (??) on 07-Июн-17, 12:15 
А какие должны быть новости? Работает себе и работает, никаких перемен.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

25. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +/
Сообщение от Аноним (??) on 07-Июн-17, 18:16 
Ну написали бы как Аллан самовыпилился из майнтейнеров.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

11. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –2 +/
Сообщение от Аноним email(??) on 07-Июн-17, 11:39 
это теперь генту на полностью отечественном эльбрусе теперь уязвимый будет? а что у других линуксовых вендоров с этим?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  +1 +/
Сообщение от vantoo (ok) on 07-Июн-17, 14:17 
Отечественного в нем с гулькин нос.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –2 +/
Сообщение от Аноним (??) on 07-Июн-17, 14:24 
Полностью отечественный «Эльбрус» не имеет отношения к SPARC. «Эльбрус», имеющий отношение к SPARC - V8, а не V9.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

41. "Gentoo прекращает отслеживание уязвимостей, специфичных для ..."  –1 +/
Сообщение от Zulu on 10-Июн-17, 00:05 
Нда. Интересно, OEL/sparc все же релизнется или похоронят раньше, чем допилим...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру