[devel] Обновление redis в p8

[mikhailnov на altlinux.org]

26.11.2019 13:57, Leonid Krivoshein пишет:
>
>
> 26.11.2019 4:41, mikhailnov на altlinux.org пишет:
>> 26.11.2019 04:22, mikhailnov на altlinux.org пишет:
>>> 26.11.2019 01:32, Leonid Krivoshein пишет:
>>>> [...]
>>>> Просто, боюсь, с этой штукой на самом деле много чего может отъехать.
>>>> Но без тестовой пересборки не представляю, как это определить.
>>>> Просили закрыть CVE в баге #37533, а бранч "стабильный".
>>>>
>>>>
>>> См. https://security-tracker.debian.org/tracker/CVE-2019-10193 и 
>>> https://security-tracker.debian.org/tracker/CVE-2019-10192
>>>
>>> Их исправления бекпортировали в 3.2.13, которая гораздо ближе к 
>>> 3.0.7 в p8, чем 5.0 из сизифа. Наверняка соответствующие коммиты без 
>>> правок или с минимальным редиффом лягут на 3.0.7 патчами.
>>>
>
> Это понятно. Вопрос-то был в определении того, что стоит проверить.
> Вообще, просили обновить версию в p8.
> Для c8/c8.1, вероятно, именно так и стоило бы поступить: поднять до 
> 3.2.13.
> Но для p8 хотелось бы рискнуть поднять побольше -- взял из p9 
> последнюю версию.

Вопрос довольно странный, при таком большом поднятии версии в 
_стабильном_ бранче надо прочитать все changelog-и между версиями и, 
если они недостаточно подробные, изучить коммиты, а затем собрать новую 
версию, откатив какие-либо ломающие совместимость правки и/или 
задействовать сборочные опции, улучшающие совместимость, при наличии 
таковых. При обновлении systemd с 230 до 243 в rosa2016.1 это заняло 
несколько недель. Риск странный. Раз вы не знакомы с redis, как ни 
крутите, не придумаете всё, что можно проверить. А для продакшена такое 
внезапное обновление будет неприятным сюрпризом. Но я не знаком с redis, 
может, там просто за цифрами в версии гонятся.

Не знаю, как в Альте принято, но делать рассинхрон сертифицированных и 
обычных веток тоже весьма странно.