почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
irr
проходил мимо

почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение irr » 2009-06-25 0:17:45

если посмотреть историю обнаружения уязвимостей например для PHP5
http://www.freshports.org/lang/php5/
http://www.freshports.org/vuxml.php?vid ... 163e000016

то еще в декабре 2008 года небезопасно было использовать PHP5 ниже версии 5.2.8.

почему тогда в релизах 2009-го года даже у таких флагманов как Red Had и Debain приустствуют уязвимые пакеты?

Debian 5.0 lenny, вышел 2009/02/15, версия PHP 5.2.6
http://distrowatch.com/table.php?distribution=debian

Red Hat RHEL-5.3, вышел 2009/01/20, версия PHP 5.1.6
http://distrowatch.com/table.php?distribution=redhat

они там хотя бы пропатченные или как?
и что с ними предлагается делать админу - сразу обновлять на новые версии?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1421
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение server801 » 2009-06-25 0:26:38

иначе их бы просто не включили в состав дистрибутивов.за центос не знаю,но на дебиане у многих серьезных контор в Рунете стоят сервера на дебе.я тоже задавался этим вопросом-но где то читал что софт на этих дистрах не новый ,но стабильный.
Последний раз редактировалось server801 2009-06-25 0:39:35, всего редактировалось 1 раз.

irr
проходил мимо

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение irr » 2009-06-25 0:39:10

то есть считается что старая пропатченная версия пакета лучше новой без уязвимостей?

а как я узнаю (допустим если у меня Red Hat), что мне все еще можно безопасно пользоваться версией PHP 5.1.6? и как Red Hat узнает что его пользователям все еще можно безопасно пользоваться версией PHP 5.1.6? он же не разрабатывает PHP.

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1421
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение server801 » 2009-06-25 1:11:23

ну у меня на сервере на Debian ставился из офф реп

Код: Выделить всё

 php --version
PHP 5.2.9-0.dotdeb.2 with Suhosin-Patch 0.9.7 (cli) (built: Apr  7 2009 20:42:41             )
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies
    with XCache v1.2.2, Copyright (c) 2005-2007, by mOo

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-25 10:04:15

топикстартер, читай фак в начале форума.
/security backporting

+

Код: Выделить всё

rpm -q --changelog <package>
все там пропатчено и стабильно.
With best wishes, Sergej Kandyla

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-25 10:08:06

если у тебя редхат или сентос или дебиан, то о безопасности твоих пакетов заботится security team дистрибутива.
И все что от тебя требуется это при желании читать security-announces и соотвественно обновлять пакеты командами (yum update | apt-get update)
With best wishes, Sergej Kandyla

irr
проходил мимо

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение irr » 2009-06-25 21:17:46

у меня FreeBSD. я просто интересовался как с этим дела обстоят в Linux.
спасибо за ответы ).

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение hizel » 2009-06-25 22:32:06

Код: Выделить всё

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main
отдельные репазитории на этот счёт :-)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-25 22:46:37

Код: Выделить всё

stable main contrib
точно также имеют версионизированные последние стабильные версии пакетов.
Впрочем, как и большинство репозиториев centos\rhel.
После портов фреебсд это просто счастье, хотя, безусловно порты имеют и свои преимущества, которые плавно сходят на нет при росте парка серверов и отпадании желания еб...ся с кастомными настройками.
With best wishes, Sergej Kandyla

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-25 22:49:12

счастье почти как порты\пакеты freebsd после slakware :)
With best wishes, Sergej Kandyla

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение ev » 2009-06-25 23:43:49

то есть считается что старая пропатченная версия пакета лучше новой без уязвимостей?
не лучше, а стабильнее
в freebsd ситуация аналогичная (по некоторым библиотекам)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение Alex Keda » 2009-06-26 11:28:23

paix писал(а):

Код: Выделить всё

stable main contrib
точно также имеют версионизированные последние стабильные версии пакетов.
Впрочем, как и большинство репозиториев centos\rhel.
После портов фреебсд это просто счастье, хотя, безусловно порты имеют и свои преимущества, которые плавно сходят на нет при росте парка серверов и отпадании желания еб...ся с кастомными настройками.
гы =)

Код: Выделить всё

man pkg_create
ниасилил? на одной собрал - на другие накатил =)))
Убей их всех! Бог потом рассортирует...

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-26 11:56:27

lissyara писал(а):

Код: Выделить всё

man pkg_create
ниасилил? на одной собрал - на другие накатил =)))
это все в манах и в теории.

покажи мне какю-нибудь вменяемую статью\хауту где бы описывалось как на freebsd рулить большим числом неоднотипных серверов (хотябы в плане автоматизации пакетов).

На практике в freebsd все пересобирают софт руками через портапгрейд, потому что так "проще и надежней", только метод вот далеко не времящадящий.
With best wishes, Sergej Kandyla

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение Alex Keda » 2009-06-26 12:05:34

неоднотипность серверов/пакетов определяет необходимость ручных действий.
тут уж ничё не поделаешь =)
portupgrade|srcrpm
Убей их всех! Бог потом рассортирует...

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-26 12:45:26

lissyara писал(а):неоднотипность серверов/пакетов определяет необходимость ручных действий.
тут уж ничё не поделаешь =)
portupgrade|srcrpm
даже если сервисы\пакеты неоднотипные, то кто мешает сделать просто различные названия пакетов? И юзать всего лишь один свой дополнительный репозитарий.
Да и вообще такое бывает крайне редко, я обхожусь в линуксе общеизвестными репозитариями, и софт на всех серверах\виртуалках везде одинаковых версий.

система портов в freebsd чрезвычайно динамичная, и очень хороша для девелоперов\тестирования. Если же вам хочется один раз сделать и забыть - версионизированные пакетные системы с этим гораздо лучше справляются.

Что лис, уже в портах php-5.2.10, го сервера обновлять? ;) 10 дырок пофиксили, 20 новых багов добавилии, сиди дебаж незывается...

PS. вообщем в случае third party software безопасность софта в freebsd достигается за счет усилий соотвествующих меинтейнеров пакетов, которые используют последний stable версию софта от вендора софта (например, php team выпустила последнюю стабильную версию пыха - 5.2.10, меинтейнер порта ее сразу же портировал). В случае серверных линуксов, все пакеты в базовых репозитариях поддерживаются security team дистрибутива, и по сути являются частью системы. Обновление и системы и базовых пакетов происходит неотделимо друг от друга.

Преимущество - в стабильности. (известные баги фиксятся, но новых ошибок, связанных с новым кодом т.е. новыми фичами не появляется, софт становится все стабильнее и стабильнее).
Недостаток - в слабой динамичности. Если вам нужны последние фичи софта, то определенно freebsd выглядит привлекательней.

Тут уж, наверно, стоит выбирать что тебе предпочтительней. Тупо сравнивать разные нельзя.
With best wishes, Sergej Kandyla

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение Alex Keda » 2009-06-26 13:00:11

если ты их не используешь (новые фичи) - багов-то и не будет =)
Убей их всех! Бог потом рассортирует...

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-26 13:07:21

lissyara писал(а):если ты их не используешь (новые фичи) - багов-то и не будет =)
но это не означает, что в новых фичах (в новом коде) не окажется security holes and bugs
With best wishes, Sergej Kandyla

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение Alex Keda » 2009-06-26 13:11:09

это не защитит и в линуксах.
в любом случае обновления нада =)))
Убей их всех! Бог потом рассортирует...

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: почему в Red Hat, Debian и т.д. включают уязвимые пакеты?

Непрочитанное сообщение paix » 2009-06-26 13:22:11

lissyara писал(а):это не защитит и в линуксах.
в любом случае обновления нада =)))
в rhel\centos новых фич (практически*) не добавляют в стабильные пакеты.
http://www.redhat.com/security/updates/ ... c_cid=3093

поэтому если появляется доступный пакет для обновления - это либо багфиксы либо security fixes

* - в зависимости от стадии развития ветки. В начальной стадии (первые 1-2 года) новая функциональность может бекпортироваться.

Модель разная ;)
Но в одном я стобой солидарен - обновляться нужно везде, и следить за безопасностью всегда, security-advisories, announices и т.д.
With best wishes, Sergej Kandyla