почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

[irr]

если посмотреть историю обнаружения уязвимостей например для PHP5
http://www.freshports.org/lang/php5/
http://www.freshports.org/vuxml.php?vid ... 163e000016

то еще в декабре 2008 года небезопасно было использовать PHP5 ниже версии 5.2.8.

почему тогда в релизах 2009-го года даже у таких флагманов как Red Had и Debain приустствуют уязвимые пакеты?

Debian 5.0 lenny, вышел 2009/02/15, версия PHP 5.2.6
http://distrowatch.com/table.php?distribution=debian

Red Hat RHEL-5.3, вышел 2009/01/20, версия PHP 5.1.6
http://distrowatch.com/table.php?distribution=redhat

они там хотя бы пропатченные или как?
и что с ними предлагается делать админу - сразу обновлять на новые версии?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[server801]

иначе их бы просто не включили в состав дистрибутивов.за центос не знаю,но на дебиане у многих серьезных контор в Рунете стоят сервера на дебе.я тоже задавался этим вопросом-но где то читал что софт на этих дистрах не новый ,но стабильный.

[irr]

то есть считается что старая пропатченная версия пакета лучше новой без уязвимостей?

а как я узнаю (допустим если у меня Red Hat), что мне все еще можно безопасно пользоваться версией PHP 5.1.6? и как Red Hat узнает что его пользователям все еще можно безопасно пользоваться версией PHP 5.1.6? он же не разрабатывает PHP.

[server801]

ну у меня на сервере на Debian ставился из офф реп

Код: Выделить всё

 php --version
PHP 5.2.9-0.dotdeb.2 with Suhosin-Patch 0.9.7 (cli) (built: Apr  7 2009 20:42:41             )
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies
    with XCache v1.2.2, Copyright (c) 2005-2007, by mOo

[paix]

топикстартер, читай фак в начале форума.
/security backporting

+

Код: Выделить всё

rpm -q --changelog <package>

все там пропатчено и стабильно.

[paix]

если у тебя редхат или сентос или дебиан, то о безопасности твоих пакетов заботится security team дистрибутива.
И все что от тебя требуется это при желании читать security-announces и соотвественно обновлять пакеты командами (yum update | apt-get update)

[irr]

у меня FreeBSD. я просто интересовался как с этим дела обстоят в Linux.
спасибо за ответы ).

[hizel]

Код: Выделить всё

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main

отдельные репазитории на этот счёт :-)

[paix]

Код: Выделить всё

stable main contrib

точно также имеют версионизированные последние стабильные версии пакетов.
Впрочем, как и большинство репозиториев centos\rhel.
После портов фреебсд это просто счастье, хотя, безусловно порты имеют и свои преимущества, которые плавно сходят на нет при росте парка серверов и отпадании желания еб...ся с кастомными настройками.

[paix]

счастье почти как порты\пакеты freebsd после slakware

[ev]

то есть считается что старая пропатченная версия пакета лучше новой без уязвимостей?

не лучше, а стабильнее
в freebsd ситуация аналогичная (по некоторым библиотекам)

[Alex Keda]

Код: Выделить всё

stable main contrib

точно также имеют версионизированные последние стабильные версии пакетов.
Впрочем, как и большинство репозиториев centos\rhel.
После портов фреебсд это просто счастье, хотя, безусловно порты имеют и свои преимущества, которые плавно сходят на нет при росте парка серверов и отпадании желания еб...ся с кастомными настройками.

гы

Код: Выделить всё

man pkg_create

ниасилил? на одной собрал - на другие накатил ))

[paix]

Код: Выделить всё

man pkg_create

ниасилил? на одной собрал - на другие накатил ))

это все в манах и в теории.

покажи мне какю-нибудь вменяемую статью\хауту где бы описывалось как на freebsd рулить большим числом неоднотипных серверов (хотябы в плане автоматизации пакетов).

На практике в freebsd все пересобирают софт руками через портапгрейд, потому что так "проще и надежней", только метод вот далеко не времящадящий.

[Alex Keda]

неоднотипность серверов/пакетов определяет необходимость ручных действий.
тут уж ничё не поделаешь
portupgrade|srcrpm

[paix]

неоднотипность серверов/пакетов определяет необходимость ручных действий.
тут уж ничё не поделаешь
portupgrade|srcrpm

даже если сервисы\пакеты неоднотипные, то кто мешает сделать просто различные названия пакетов? И юзать всего лишь один свой дополнительный репозитарий.
Да и вообще такое бывает крайне редко, я обхожусь в линуксе общеизвестными репозитариями, и софт на всех серверах\виртуалках везде одинаковых версий.

система портов в freebsd чрезвычайно динамичная, и очень хороша для девелоперов\тестирования. Если же вам хочется один раз сделать и забыть - версионизированные пакетные системы с этим гораздо лучше справляются.

Что лис, уже в портах php-5.2.10, го сервера обновлять? 10 дырок пофиксили, 20 новых багов добавилии, сиди дебаж незывается...

PS. вообщем в случае third party software безопасность софта в freebsd достигается за счет усилий соотвествующих меинтейнеров пакетов, которые используют последний stable версию софта от вендора софта (например, php team выпустила последнюю стабильную версию пыха - 5.2.10, меинтейнер порта ее сразу же портировал). В случае серверных линуксов, все пакеты в базовых репозитариях поддерживаются security team дистрибутива, и по сути являются частью системы. Обновление и системы и базовых пакетов происходит неотделимо друг от друга.

Преимущество - в стабильности. (известные баги фиксятся, но новых ошибок, связанных с новым кодом т.е. новыми фичами не появляется, софт становится все стабильнее и стабильнее).
Недостаток - в слабой динамичности. Если вам нужны последние фичи софта, то определенно freebsd выглядит привлекательней.

Тут уж, наверно, стоит выбирать что тебе предпочтительней. Тупо сравнивать разные нельзя.

[Alex Keda]

если ты их не используешь (новые фичи) - багов-то и не будет

[paix]

если ты их не используешь (новые фичи) - багов-то и не будет

но это не означает, что в новых фичах (в новом коде) не окажется security holes and bugs

[Alex Keda]

это не защитит и в линуксах.
в любом случае обновления нада ))

[paix]

это не защитит и в линуксах.
в любом случае обновления нада ))

в rhel\centos новых фич (практически*) не добавляют в стабильные пакеты.
http://www.redhat.com/security/updates/ ... c_cid=3093

поэтому если появляется доступный пакет для обновления - это либо багфиксы либо security fixes

* - в зависимости от стадии развития ветки. В начальной стадии (первые 1-2 года) новая функциональность может бекпортироваться.

Модель разная
Но в одном я стобой солидарен - обновляться нужно везде, и следить за безопасностью всегда, security-advisories, announices и т.д.