[devel] IA: обновление движка на packages.altlinux.org

Чт Июн 25 23:44:50 MSK 2015

Привет,

Сегодня ночью будет произведено обновление движка prometheus2.0 на
packages.altlinux.org. Обновление контента выключено. Во время обновления
сайт может быть не доступен. Когда всё будет завершено и всё будет работать
в штатном режиме, я напишу отдельно.

Это обновление связано с тем что в rails 4.0 ветки есть не закрытый
CVE-2015-3227.
Оказывается ветка 4.0 уже не поддерживается в плане безопасности и пришлось
обновлять rails с версии 4.0.13 до rails 4.2.2. Как таковой, CVE-2015-3227
не влияет на prometheus2.0 (парсинг XML, который в нём не используется), но
использовать уже не поддерживаемую версию rails явно не стоит. Плюс,
готовится к выпуску 4.2.3 и мой опыт говорит что там нашли ещё дыр.

Процедура обновления стандартная. Бекап бд, обновление движка, проверка
того как работает обновления пакетов и данных.

-- 
Igor Zubkov
http://hi.im/ice
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20150625/b480f69c/attachment.html>