regional-cs: Re: stabilni vetev pkgsrc

Subject: Re: stabilni vetev pkgsrc - bezpecnost
To: rudolf <netbsd@eq.cz>
From: Lubomir Sedlacik <salo@Xtrmntr.org>
List: regional-cs
Date: 02/02/2005 09:48:39
--jho1yZJdad60DJr+
Content-Type: text/plain; charset=us-ascii
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, Feb 01, 2005 at 06:23:04PM +0100, rudolf wrote:
> jak je to s bezpecnostnimi zaplatami v stabilni pkgsrc vetvi,
> konkretne pkgsrc-2004Q4? Uz pomerne dost dlouho mi audit-packages
> hlasi "Package xpdf-3.00pl2 has a remote-code-execution
> vulnerability", podobne suse_x11-7.3nb2 a nektere balicky jsem kvuli
> bezpecnostnim chybam ani radeji nenainstaloval.

pre pkgsrc neexistuje dedikovany security-officer (zatial), developeri
su sami zodpovedni za submitovanie pullup requestov security problemov,
ktore opravia v HEAD vetve.  ak to niektory z nich nespravi, moze sa
stat, ze to trva dlhsie, nez si to vsimne (alebo je na to upozorneny)
niekto dalsi a oprava sa dostane do stabilnej vetvy.  tuto spravuje
releng team, ostatni developeri do nej nemozu priamo commitovat (tak
isto ani clenovia releng nemozu spracovavat vlastne requesty).

xpdf balik bol prave tento pripad, uz je to opravene.

co sa tyka suse73 balikov, SuSE pre ne prestalo vydavat security updaty
a budu coskoro pravdepodobne uplne odstranene z pkgsrc.  pre netbsd-2 a
HEAD odporucam pouzivat baliky suse91.

> Pouzivate stable s chybami, nebo current (nevim, jak je na tom)?  Nebo
> si chyby opravujete sami? :-)

v produkcii stabilne vetvy, na pracovnej stanici HEAD (a stabilnu vetvu
v sandboxe).

> Chapu, ze tohle nejsou zase az tak dulezite baliky, ale jak je na tom
> treba apache, databaze apod.? Jsou bezpecnostni chyby obecne podle
> vasich zkusenosti opravovany v stabilni a current vetvi pkgsrc
> relativne brzy/vcas?

historiu updatov stabilnej vetvy si mozete pozriet tu:

  http://releng.netbsd.org/cgi-bin/req-pkgsrc.cgi?status=3Dresolved

vacsina requestov s bezpecnostnymi opravami je spracovana do niekolkych
hodin.

dufam, ze uvedene informacie vam pomozu lepsie sa rozhodnut.

--=20
-- Lubomir Sedlacik <salo@{NetBSD,Xtrmntr,silcnet}.org>   --

--jho1yZJdad60DJr+
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (NetBSD)

iD8DBQFCAJPniwjDDlS8cmMRAiSNAJ9d6VLbZ6e4Sqfd/11r9QsBVLhMaACfeIyJ
upIazNoN5r3GHCVwz2P4tx0=
=P4Kc
-----END PGP SIGNATURE-----

--jho1yZJdad60DJr+--