[devel] security fixes and %changelog

[Igor Zubkov]

В сообщении от Friday 13 July 2007 12:01:37 Michael Shigorin написал(а):
> On Fri, Jul 13, 2007 at 10:13:16AM +0300, Igor Zubkov wrote:
> > > > > Серж, там remote code exec заткнули, а ты даже слово
> > > > > security в %changelog не упомянул.  Это _очень_ плохая
> > > > > практика.  Лучше забыть вписать всё остальное, но
> > > > > критичные исправления в безопасности -- хоть словом или
> > > > > двумя.
> > > >
> > > > Открой глаза: это ОБЫЧНАЯ практика.
> > >
> > > Нет, это не обычная практика для тех людей, пакеты которых
> > > обычно можно ставить и обновлять "вслепую".
> >
> > Тебе привести доказательства того что это обычная практика (по
> > крайней мере для некоторых)?

qt4:
* Tue Apr 03 2007 Sergey V Turchin <zerg at altlinux dot org> 4.2.3-alt8

- add patch against UTF-8 bug

* Fri Mar 30 2007 Sergey V Turchin <zerg at altlinux dot org> 4.2.3-alt7

Это CVE-2007-0242.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0242

Этот же баг относится к qt3:
* Mon Apr 02 2007 Sergey V Turchin <zerg at altlinux dot org> 3.3.8-alt5

- add patch against utf8 bug

* Thu Mar 29 2007 Sergey V Turchin <zerg at altlinux dot org> 3.3.8-alt4

avahi:
* Fri Jun 29 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt2

- reload dbus config instead of restart

* Tue Jun 26 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt1

- new version

* Tue May 22 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.19-alt1

Это CVE-2007-3372.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3372

Так же, сюда можно добавить то, что в avahi не одна уязвомость было. Так же, 
была уязвимость в nvidia драйверах. Так же... Так же... Продолжать можно 
долго.

> Вот к этим некоторым (всем вместе) и обращаюсь, поскольку пару
> раз уже изрядно напрягало.

+1

-- 
icesik