Участники команды Debian Security Team подвели итоги (https://lists.debian.org/debian-devel-announce/2014/03/msg00...) состоявшейся в феврале встречи разработчиков. Среди прочего, сообщается о возможности реализации расширенной поддержки (LTS) для прошлой стабильной ветки Debian Squeeze. В соответствии с устоявшейся практикой, поддержка прошлой стабильной ветки прекращается спустя год после выпуска очередного значительного релиза. Время поддержки Debian Squeeze истекает в мае. В случае воплощения плана по приданию Debian Squeeze статуса LTS, обновления с устранением уязвимостей будут выпускаться значительно дольше.
Обновления планируется поставлять через отдельный репозиторий squeeze-lts. Выпуск обновлений будет ограничен для архитектур amd64 и i386. Кроме того, на некоторые пакеты, в силу их специфики, не будет распространяться расширенная поддержка. С другой стороны, планируется ограничить время поддержки для некоторых видов пакетов из состава Wheezy, таких как браузеры на базе движка WebKit.
Из планов, в отношении будущих выпусков, отмечается переход на улучшенную систему защиты по переполнения стека, которая появится в GCC 4.9 (-fstack-protector-strong). В настоящее время для около 95% стандартных или приоритетных пакетов (priority:standard или выше) обеспечена возможность сборки с включением (https://wiki.debian.org/HardeningWalkthrough) дополнительной защиты (https://wiki.debian.org/Hardening) через dpkg-buildflags (дополнительные проверки формирования строки, D_FORTIFY_SOURCE, защита стека и т.д.). Рассматривается возможность включения по умолчанию опции монтирования hidepid=1 для procfs, при которой пользователю запрещён вход в поддиректории /proc/pid/ с данными о непринадлежащих ему процессах, что позволит защититься от целого класса проблем, связанных с утечкой информации.Также планируется пересмотреть подготовку исправлений для уязвимостей, связанных с атаками через символические ссылки. В поставляемом в Wheezy ядре включена опция блокирования подобных атак (fs.protected_symlinks), что позволяет рассматривать некоторые категории связанных с символическими ссылками уязвимостей как неопасные для пользователей дистрибутива. С другой стороны, подобная функция не включена для сборок на базе ядер FreeBSD и Hurd, поэтому будут рассмотрены способы реализации аналогичной защиты для данных платформ.
URL: https://lists.debian.org/debian-devel-announce/2014/03/msg00...
Новость: http://www.opennet.ru/opennews/art.shtml?num=39248
учитывая, что Debian Squeeze используется в НАСА и на МКС, это отличная новость.
А откуда дровишки про МКС?
Гугл - не?
Раз: http://habrahabr.ru/post/179057/
Два: http://www.cnews.ru/news/top/index.shtml?2013/05/13/528534
> Гугл - не?Да как-то даже лень.
> Раз: http://habrahabr.ru/post/179057/
> Два: http://www.cnews.ru/news/top/index.shtml?2013/05/13/528534Хоч и новость опубликована на помойках - а приятно.
Debian News совсем скопытились. Хороший повод для пиара дистрибутива, а они муру всякую пишут.
>Хороший повод для пиара дистрибутива, а они муру всякую пишут.Debian - полностью некоммерческий проект. Зачем ему пиар?
Затем же зачем и для коммерческих, чтобы развиваться.
> Затем же зачем и для коммерческих, чтобы развиваться.Это смотря в какую сторону развиваться ;)
Затем же, зачем нужена была СССР пропаганда достижений социалистической революции.Пропаганда - это вовсе не плохо. Просто вы, видимо, принадлежите к поколению (-ям?), которых вырастили с убеждением (привитым, в сущности, той же пропагандой :) - что пропаганда это обязательно вранье и ложь и проч "коммерция".
> Затем же, зачем нужена была СССР пропаганда достижений социалистической революции.
> Пропаганда - это вовсе не плохо. Просто вы, видимо, принадлежите к
> поколению (-ям?), которых вырастили с убеждением (привитым, в сущности, той же
> пропагандой :) - что пропаганда это обязательно вранье и ложь и
> проч "коммерция".Да!
Но вопрос в том, что под словами необходимо подписываться. А то потом получается, что к анонимам совсем доверие пропало (да и канделябром, трудновато до него дотянутся).
А так "жираф большой, ему виднее".
> Но вопрос в том, что под словами необходимо подписываться.Зачем? Не разумнее просто головой пользоваться, когда оцениваешь чьи-то выссказывания?
Вот вы головой пользуетесь когда смотрите всю эту гомо-гламурную пропаганду, называемую нынче чудаковатым словом "реклама"?
И ничего не отторгается,а как говорят пропаганда - звучит как будто не правда, а меж тем
yandex://на+прицеле+ваш+мозг
именно яндекс
> Вот вы головой пользуетесь когда смотрите всю эту гомо-гламурную пропаганду, называемую
> нынче чудаковатым словом "реклама"?Не смотрю я рекламу, дядинька. И телевизера у мене нету черти сколько лет...
> команда поддержки вычислительных систем МКС приняла решение полностью избавиться от Windows на борту, переведя ноутбуки космонавтов на Debian, который в практической перспективе является гораздо более безопасной ОС, так как распространен меньше, чем Windows.Ой да ла-а-адно, нашли механизм безопасности в непопулярности Дебиана? Идиоты-жёлтопресники..
> Ой да ла-а-адно, нашли механизм безопасности в непопулярности Дебиана?Вообще-то это разумное утверждение. Как десктоп, он пока менее популярен чем M$ поделки - представляет пока менее лакомый кусок для соответствующего масс-таргетинга.
> Идиоты-жёлтопресники..
Но в принципе, да. Это явно не цитата, а твАрческое изложение интервью каким-то журнализдом.
> учитывая, что Debian Squeeze используется в НАСА и на МКС, это отличная новость.Вы таки думаете, что в НАСА сидят ламеры, неспособные обеспечить бэкпортирование нескольких патчей в месяц?
Вы таки думаете, они будут тратить на это время?
> Вы таки думаете, они будут тратить на это время?Если им важна безопасность - будут.
Но обычно на промышленных системах стабильность важнее, поэтому их вообще никогда не обновляют, с момента сдачи в эксплуатацию и до момента списания.
Я помню совсем недавно, в разгар кризиса, даже на хостинг великой насе не хватило. Сильно увлеклись пилёжем, видимо, ради стабильности.
Категорически приветствую.
Учитывая, что второй гном там присутствует нативно, это прекрасная новость.
Хвататься за Gnome2 больше нет нужды, т.к. есть уже достаточно стабильный MATE
> Хвататься за Gnome2 больше нет нужды, т.к. есть уже достаточно стабильный MATEО том что МАТЕ достаточно стабилен говорят пол-года уже. Три месяца назад он был так себе мягко говоря.
> Учитывая, что второй гном там присутствует нативно, это прекрасная новость.В RHEL6 второй гном присутствует нативно, и поддержка, как и у всех RHEL, порядка 10 лет.
Сомневаюсь, что Squeeze протянет до 2020 года.
Проблема в том, что он редхет со всеми неудобствами
какими такими неудобствами?
>длительной LTS-поддержкиОчень важная VIP персона.
>> длительной LTS-поддержки
> Очень важная VIP персона.Компактные CD диски.
От long long int - тоже корёжит?
В этом ITT треде.
LTS? Шаттл мне в рот! Где-то я это видел. Слава Мраку.
LTS релизы только Слава Марк выпускает?
В Red Hat Enterprise Linux 6. Там та же версия ядра и всего остального, что и в Debian Squeeze. Что выгодно и тем, и другим: при переносе исправлений ошибок в старые версии программ не приходится адаптировать один и тот же патч под две разные версии одного MYSQL.
Хорошая новость. Не хочу тратить личное время на установку нового дистра на домашнем медиасервере.
> Хорошая новость. Не хочу тратить личное время на установку нового дистра на домашнем медиасервере."личное время и медиа сервер" уже фигня получается, ибо пересмотр по 20 разу Матрицы,
такая же х...ня, как и установка дистра - КПД чуть меньше нуля.
Представьте - на медиасервере могут лежать:1) семейные архивы - и фото и видео
2) музыка
3) фильмы, которые нравится смотреть другим членам семьи. Дети часто хотят в десятый раз посмотреть любимый мультик
4) обучающие фильмы.
5) фильмы, которые есть смысл пересматривать. Да, вы можете удивиться - но существуют не только одноразовые мигалки, а и то, что иногда хочется пересмотреть и ещё раз обдумать. Также как бывают книги, которые стоит перечитывать.
Даже то, что есть в сети, часто есть смысл хранить - потому что не факт, что в следующий раз найдёшь, особенно в нужном качестве.
ИБД
Печально. От LTS пока отказываться, а они наоборот тратят время на эти архаизмы.
> Печально. От LTS пока отказываться, а они наоборот тратят время на эти
> архаизмы.Вас то это как задевает? Далеко не всем нужен свежайший софт, многим достаточно просто рабочего.
Некоторым еще нужен не дырявый софт, а это на практике означает - свежий. Даже убунтовцы это поняли.
> Некоторым еще нужен не дырявый софт, а это на практике означает -
> свежий. Даже убунтовцы это поняли.На практике свежий - это как раз дырявый. Или Вы верите, что дырки только в старом софте бывают, а с нового года их больше не выпускают?
> На практике свежий - это как раз дырявый. Или Вы верите, что
> дырки только в старом софте бывают, а с нового года их
> больше не выпускают?Новые дырки хакерам не известны, а значит, (пока) не считаются. Зато старые - вполне.
>> На практике свежий - это как раз дырявый. Или Вы верите, что
>> дырки только в старом софте бывают, а с нового года их
>> больше не выпускают?
> Новые дырки хакерам не известны, а значит, (пока) не считаются.
> Зато старые - вполне.Вот так взяли и рассказали про все дырки. А то, что они бывают разные и что обобщать можно разве что про постепенный рост атакуемой поверхности с годами -- не подумали.
В убунте отказываются тратить бабло на поддержку, а какими словами и жестами это прикрывается -- представляет интерес разве что для разработчиков детекторов лжи, наверное.
А что такое "поддержка" по-вашему? Разве не должна она включать в себя бэкпортирование патчей по безопасности?
> А что такое "поддержка" по-вашему? Разве не должна она включать в себя
> бэкпортирование патчей по безопасности?Самый простой способ обеспечить своевременное закрытие дыр - держать софт всегда свежим.
> Самый простой способ обеспечить своевременное закрытие дыр - держать софт всегда свежим.Для обеспечения своевременного обновления списка ненайденных багов тоже неплохо, кстати.
Самый простой - поставить debian и вовремя ставить патчи. Или поставить RedHat и вовремя ставить патчи. Конечно, в идеальном мире можно сразу по выходу новой версии дистрибутива ставить именно его и переносить все приложения на него, но это технологически либо очень затратно, либо иногда вообще невозможно. И чем больше дистрибутив используется в долго поддерживаемых приложениях, тем актуальней LTS - иначе будет переход на другие дистрибутивы.Может быть, хорошим решением было бы разделение дистрибутива на LTS часть и не-LTS часть .
>> Печально. От LTS пока отказываться, а они наоборот тратят время на эти
>> архаизмы.
> Вас то это как задевает? Далеко не всем нужен свежайший софт, многим
> достаточно просто рабочего.Позволю себе добавить к вашим словам.
Не просто рабочего, а выполняющего заявленные в этом софте функции корректно.
И да, про шахматы и поэтесс, если заявлено то почему бы и нет?!?!
Вы наивно полагаете, что диплом ВУЗа - гарантия адекватности? У господ депутатов вот тоже есть корочки, а ещё есть "молодые и перспективные" врачи, которые лайм-боррелиоз считают "запоздалой реакцией на клеща". Мне продолжать?
> Обновления планируется поставлять через отдельный репозиторий squeeze-lts.Ох, перевотчики и модерасты...
"The rough draft is that updates will be delivered via a separate suite (e.g. squeeze-lts)"Не очень понятно, почему нельзя просто оставить squeeze/updates для security.debian.org.
> Не очень понятно, почему нельзя просто оставить squeeze/updates для security.debian.org.Очевидно, потому что штатные репы уйдут на archive.debian.org.
>> Не очень понятно, почему нельзя просто оставить squeeze/updates для security.debian.org.
> Очевидно, потому что штатные репы уйдут на archive.debian.org.Очевидно, что не очевидно зачем в данном случае это нужно.
> Очевидно, что не очевидно зачем в данном случае это нужно.Очевидно, потому что место на основных зеркалах не бесконечное.
Бах. Еще один релиз, причем со вполне предсказуемыми требованиями к месту (в отличие от sid/testing).Не, не впечатлило.
Ну разумеется, если новая версия выходит раз в десять лет, тогда каждая по-сути - LTS.
> Ну разумеется, если новая версия выходит раз в десять лет, тогда каждая
> по-сути - LTS.Э-гм, где Вы были http://www.opennet.ru/openforum/vsluhforumID3/93108.html#30 последние 10 лет?
Или Вы не с новостью разговариваете???
не, я со своей мышкой разговариваю.
> Ну разумеется, если новая версия выходит раз в десять лет, тогда каждая по-сути - LTS.При чем тут винда?
python 2.7 ещё бы... red hat для своих делает и python 2.7, и nodejs, и прочие актуальные вещи. сама по себе радость от того, что "у меня debian 6", как то душу не греет. :)тем более, если бы это заранее анонсировалось, чтобы можно было подготовиться... а вот так... сразу... без предупреждения :)
> тем более, если бы это заранее анонсировалось, чтобы можно было подготовиться... а
> вот так... сразу... без предупреждения :)То ли дело Arch или Ubuntu LTS - ставишь, уже будучи морально готовым к "поддержке" :)
Замечательно!
fstack-protector-strong палка на двух концах, полной защиты не гарантирует.