[devel] Vulnerability policy

Alexey Tourbin alexey.tourbin на gmail.com
Чт Мар 2 09:57:52 MSK 2017


2017-02-28 20:06 GMT+03:00 lineprinter <lineprinter на altlinux.org>:
> По результатам обсуждения страница
> https://www.altlinux.org/Vulnerability_Policy была обновлена, желающим
> предлагаю прокомментировать.

Полагаться на %changelog - плохая идея. В моей практике знаете какой
был случай? Один пациент прислал мне пакет postgesql.src.rpm с
исправлением уязвимости, чтобы я собрал его в updates. (Было это в
2003 году, тогда еще не было бранчей, а были updates для
дистрибутивов.)  И вот я из любопытства просматриваю этот пакет,
строчка Patch: там есть, а соответствующей строчки %patch - нету. Я
пациенту пишу: патч не прикладывается. Он: то есть как это не
прикладывается? То есть совсем не прикладывается. Языковая
двусмысленность такая немного смешная.

Полагаться на исправленную версию - несколько лучше. Поскольку
облажаться пациенту в этом случае сложнее. Проблема только в том, что
опережающая версия иногда используется для сборки пререлизов (такие
сборки часто получают релиз alt0.1 и т.д.) Поэтому в плане версий
можно выделить три случая:

- версия > succ(v) - уязвимость исправлена (где v - уязвимая версия).
- версия = succ(v) - пограничный случай, смотрим на релиз alt0*.
- версия = v - скорее всего не исправлена, если нет упоминания в %changelog.

Но это только если бы версии последовательно нумеровались. Если,
например, уязвимы версии вплоть до 3.3, а в сизифе имеется
4.0-alt-0.1, то сказать что либо сложно. Кроме того, релизы alt0*
перегружены: они также используются для бекпортов в бранчи.

Вообще, если ставить дело на серьезную ногу, то вся это эвристика не
годится, а играют роль только два критерия: 1) текстовое совпадение в
коде (а именно, сделать rpm -bp и дальше смотреть, прикладывается ли
патч или наоборот patch -R); 2) воспроизводимость уязвимости. Нужно
уметь воспроизвести уязвимость в уязвимой версии и показать, что
уязвимость больше не воспроизводится в исправленной версии.  Это самое
тяжелое, и это конечно надо стараться как-то автоматизировать.  Я в
свое время несколько пакетов так исправил.

Потом мне это надоело до чертиков. Там еще было очень много
имитационной деятельности. То есть нужно было писать анонс:
"обнаружена уязвимость, потенциальный злоумышленник может вас задрать"
и там еще ссылки надо было вставлять на скачивание rpm-пакетов. Ну в
общем подражание Ред Хату при отсутствии редхатовских клиентов и
бюджетов - маразм в чистом виде.

Дались они вам эти уязвимости. Мой опыт показывает, что сколько их не
исправляй, они тут же новые вскакивают. Как говорил Иисус Христос,
сборка обновлений - это суета и томление духа.  Советую вам лучше
что-нибудь выпить. В Пятерочке сейчас продается Rauli Chardonnay 2015
за 300 с небольшим рублей. По-моему, ничего.


Подробная информация о списке рассылки Devel