forum.lissyara.su

если посмотреть историю обнаружения уязвимостей например для PHP5
http://www.freshports.org/lang/php5/
http://www.freshports.org/vuxml.php?vid ... 163e000016

то еще в декабре 2008 года небезопасно было использовать PHP5 ниже версии 5.2.8.

почему тогда в релизах 2009-го года даже у таких флагманов как Red Had и Debain приустствуют уязвимые пакеты?

Debian 5.0 lenny, вышел 2009/02/15, версия PHP 5.2.6
http://distrowatch.com/table.php?distribution=debian

Red Hat RHEL-5.3, вышел 2009/01/20, версия PHP 5.1.6
http://distrowatch.com/table.php?distribution=redhat

они там хотя бы пропатченные или как?
и что с ними предлагается делать админу - сразу обновлять на новые версии?

иначе их бы просто не включили в состав дистрибутивов.за центос не знаю,но на дебиане у многих серьезных контор в Рунете стоят сервера на дебе.я тоже задавался этим вопросом-но где то читал что софт на этих дистрах не новый ,но стабильный.

то есть считается что старая пропатченная версия пакета лучше новой без уязвимостей?

а как я узнаю (допустим если у меня Red Hat), что мне все еще можно безопасно пользоваться версией PHP 5.1.6? и как Red Hat узнает что его пользователям все еще можно безопасно пользоваться версией PHP 5.1.6? он же не разрабатывает PHP.

ну у меня на сервере на Debian ставился из офф реп

топикстартер, читай фак в начале форума.
/security backporting

+ все там пропатчено и стабильно.

если у тебя редхат или сентос или дебиан, то о безопасности твоих пакетов заботится security team дистрибутива.
И все что от тебя требуется это при желании читать security-announces и соотвественно обновлять пакеты командами (yum update | apt-get update)

у меня FreeBSD. я просто интересовался как с этим дела обстоят в Linux.
спасибо за ответы ).

отдельные репазитории на этот счёт :-)

точно также имеют версионизированные последние стабильные версии пакетов.
Впрочем, как и большинство репозиториев centos\rhel.
После портов фреебсд это просто счастье, хотя, безусловно порты имеют и свои преимущества, которые плавно сходят на нет при росте парка серверов и отпадании желания еб...ся с кастомными настройками.

счастье почти как порты\пакеты freebsd после slakware

то есть считается что старая пропатченная версия пакета лучше новой без уязвимостей?

не лучше, а стабильнее
в freebsd ситуация аналогичная (по некоторым библиотекам)

paix писал(а):

Код: Выделить всё

stable main contrib

точно также имеют версионизированные последние стабильные версии пакетов.
Впрочем, как и большинство репозиториев centos\rhel.
После портов фреебсд это просто счастье, хотя, безусловно порты имеют и свои преимущества, которые плавно сходят на нет при росте парка серверов и отпадании желания еб...ся с кастомными настройками.

гы ниасилил? на одной собрал - на другие накатил ))

lissyara писал(а):

Код: Выделить всё

man pkg_create

ниасилил? на одной собрал - на другие накатил ))

это все в манах и в теории.

покажи мне какю-нибудь вменяемую статью\хауту где бы описывалось как на freebsd рулить большим числом неоднотипных серверов (хотябы в плане автоматизации пакетов).

На практике в freebsd все пересобирают софт руками через портапгрейд, потому что так "проще и надежней", только метод вот далеко не времящадящий.

неоднотипность серверов/пакетов определяет необходимость ручных действий.
тут уж ничё не поделаешь
portupgrade|srcrpm

lissyara писал(а):неоднотипность серверов/пакетов определяет необходимость ручных действий.
тут уж ничё не поделаешь
portupgrade|srcrpm

даже если сервисы\пакеты неоднотипные, то кто мешает сделать просто различные названия пакетов? И юзать всего лишь один свой дополнительный репозитарий.
Да и вообще такое бывает крайне редко, я обхожусь в линуксе общеизвестными репозитариями, и софт на всех серверах\виртуалках везде одинаковых версий.

система портов в freebsd чрезвычайно динамичная, и очень хороша для девелоперов\тестирования. Если же вам хочется один раз сделать и забыть - версионизированные пакетные системы с этим гораздо лучше справляются.

Что лис, уже в портах php-5.2.10, го сервера обновлять? 10 дырок пофиксили, 20 новых багов добавилии, сиди дебаж незывается...

PS. вообщем в случае third party software безопасность софта в freebsd достигается за счет усилий соотвествующих меинтейнеров пакетов, которые используют последний stable версию софта от вендора софта (например, php team выпустила последнюю стабильную версию пыха - 5.2.10, меинтейнер порта ее сразу же портировал). В случае серверных линуксов, все пакеты в базовых репозитариях поддерживаются security team дистрибутива, и по сути являются частью системы. Обновление и системы и базовых пакетов происходит неотделимо друг от друга.

Преимущество - в стабильности. (известные баги фиксятся, но новых ошибок, связанных с новым кодом т.е. новыми фичами не появляется, софт становится все стабильнее и стабильнее).
Недостаток - в слабой динамичности. Если вам нужны последние фичи софта, то определенно freebsd выглядит привлекательней.

Тут уж, наверно, стоит выбирать что тебе предпочтительней. Тупо сравнивать разные нельзя.

если ты их не используешь (новые фичи) - багов-то и не будет

lissyara писал(а):если ты их не используешь (новые фичи) - багов-то и не будет

но это не означает, что в новых фичах (в новом коде) не окажется security holes and bugs

это не защитит и в линуксах.
в любом случае обновления нада ))

lissyara писал(а):это не защитит и в линуксах.
в любом случае обновления нада ))

в rhel\centos новых фич (практически*) не добавляют в стабильные пакеты.
http://www.redhat.com/security/updates/ ... c_cid=3093

поэтому если появляется доступный пакет для обновления - это либо багфиксы либо security fixes

* - в зависимости от стадии развития ветки. В начальной стадии (первые 1-2 года) новая функциональность может бекпортироваться.

Модель разная
Но в одном я стобой солидарен - обновляться нужно везде, и следить за безопасностью всегда, security-advisories, announices и т.д.