Обновления безопасности в Slackware (Firefox 6.02 - уязвим , апдейта на slackware.com нет!)

[Zer0]

27.09.2011 была опубликована очередная дыра в firefox.
Обновлений на slackware.com нет.
Уязвимы все версии ниже 7.0 и 3.6.23
http://www.securityfocus.com/bid/49850
http://www.securitylab.ru/vulnerability/407544.php
http://www.securitylab.ru/vulnerability/407548.php

[drBatty]

браузер - такая штука, которая должна обновляться самостоятельно, для большей оперативности.
PS: Mozilla/5.0 (X11; Linux i686; rv:7.0.1) Gecko/20100101 Firefox/7.0.1

[Zer0]

В принципе оно так, но апдейты на софт поставляемый в составе дистрибутива,
как правило постят создатели дистров, сегодня на фокс забили, завтра на что-нибудь
еще...

[bormant]

Во первых,
http://slackware.com/security/viewer.php?l...security.450340
Во-вторых,
6.0.2 и 3.6.22 отсутствуют в списке уязвимых (хотя в списке неуязвимых тоже отсутствуют). Хотя, следует признать, что наличие уязвимости следует из "пофикшено в" 7.0/3.6.23.
В третьих,
слакбилд в наличии http://slackware.osuosl.org/slackware-curr...ozilla-firefox/, просто добавить тарбол с нужными исходниками.

[hottab]

http://slackware.osuosl.org/slackware-13.37/ChangeLog.txt

Код: Выделить всё

Tue Oct 11 23:18:55 UTC 2011
patches/packages/file-5.09-i486-1_slack13.37.txz:  Upgraded.
patches/packages/httpd-2.2.21-i486-1_slack13.37.txz:  Upgraded.
  Respond with HTTP_NOT_IMPLEMENTED when the method is not
  recognized.  [Jean-Frederic Clere]  SECURITY: CVE-2011-3348
  Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20.
  PR 51748. [<lowprio20 gmail.com>]
  For more information, see:
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348
  (* Security fix *)
patches/packages/mozilla-firefox-7.0.1-i486-1_slack13.37.txz:  Upgraded.
  This release contains security fixes and improvements.
  For more information, see:
    http://www.mozilla.org/security/known-vulnerabilities/firefox.html
  (* Security fix *)
patches/packages/seamonkey-2.4.1-i486-1_slack13.37.txz:  Upgraded.
  This update contains security fixes and improvements.
  For more information, see:
    http://www.mozilla.org/security/announce/
  (* Security fix *)
patches/packages/seamonkey-solibs-2.4.1-i486-1_slack13.37.txz:  Upgraded.

http://slackware.osuosl.org/slackware-13.3..._slack13.37.txz

[Zer0]

Самостоятельно обновить фокс или любую другую нужную программу - не проблема,
сильно не порадовало то, что на офсайте slackware нет информации ни об уязвимости,
ни об апдейтах подготовленных создателем дистрибутива. До сих пор нет кстати...

[bormant]

Ну как же нет, вот вам hottab процитировал, с 11 октября 11 года есть, и соответствующее указание "(* Security fix *)" есть.
http://slackware.osuosl.org -- это официальное зеркало slackware.com. На slackware.com тоже есть.
ChangeLog.txt -- это основной источник информации о вышедших для конкретного релиза обновлениях (/patches/{packages,source}).
Он же источник для принятия решения официальным же пакетным менеджером slackpkg об обновлении информации о пакетах: slackpkg update && slackpkg upgrade-all

Письма в рассылке Slackware Security Advisories действительно нет. В этом проблема? Разве это проблема?

ps.

Chapter 18. Keeping Track of Updates

The -stable Branch
...
So how do you know when there are updates? The best way is to consult the ChangeLog.txt on any up-to-date mirror. You can always find the latest changelogs for the "-current" and most recent "-stable" branch on the Slackware Project's web page, but if you're running an older version of Slackware, you'll need to check a mirror.

[Zer0]

За ссылку на http://slackware.osuosl.org спасибо.
Факт наличия исправлений безопасности всегда смотрел тут:
http://www.slackware.com/security/list.php...rity&y=2011
Логично вроде видеть эту информацию на офсайте, тем более за те 2 года, что я пересел
на slackware - там все постилось вовремя. Вопрос по моему исчерпан.
Апдейт есть, но глубоко в зеркалах.

[bormant]

Про "глубоко в зеркалах" -- это скорее результат какого-то непонимания.

Тут в чём дело. Структура репозитория Slackware в части обновлений после выпуска такова:

Код: Выделить всё

ftp://ftp.slackware.com/pub/slackware/                                 -- корень для версий
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/                 -- корень для конкретной версии (slackware-13.37)
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/ChangeLog.txt    -- перечень обновлений для версии
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/         -- обновления для версии, на момент выпуска тут пусто
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/packages -- бинарные пакеты обновлений
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/source   -- сценарии сборки и исходники

Тоже самое для каждой версии, например, ftp://ftp.slackware.com/pub/slackware/slackware-8.1/

Выпускаемые обновления приходят в /patches, запись о них делается в /ChangeLog.txt. Если это обновление безопасности, запись маркируется как (* Security Fix*).
ChangeLog.txt от текущей стабильной и -current версии также доступен на http://slackware.com/changelog/
И оно в таком виде существует довольно давно.

То есть, апдейты не "глубоко в зеркалах", а там, где им отведено место в репе ещё на момент выпуска версии дистрибутива, и где положено проверять их наличие. Вариантов проверки, естественно, не один, можно при помощи недавно ставшего официальным slackpkg, можно по старинке rsync-ом в cron-е, можно ещё как-то, суть от этого не меняется.

Есть почтовая рассылка "Slackware Security Advisories", содержимое которой дублируется на http://slackware.com/security/. Насчёт того, были ли и ранее случаи выхода security fix без анонса в рассылке, судить не берусь, но если имеется подобный интерес и желание его удовлетворить --все необходимые источники для подобного исследования (логи и архив рассылки) есть ;-)

[Zer0]

Насчет "глубоко", похоже погорячился, как я понял ChangeLog - первичен, а остальное как получится.
Фишку про ChangeLog не знал, возьму на заметку. Спасибо за исчерпывающую информацию.