27.09.2011 была опубликована очередная дыра в firefox.
Обновлений на slackware.com нет.
Уязвимы все версии ниже 7.0 и 3.6.23
http://www.securityfocus.com/bid/49850
http://www.securitylab.ru/vulnerability/407544.php
http://www.securitylab.ru/vulnerability/407548.php
Обновления безопасности в Slackware (Firefox 6.02 - уязвим , апдейта на slackware.com нет!)
Модератор: Модераторы разделов
Обновления безопасности в Slackware
Memento mori ... сделай бэкап.
- drBatty
- Сообщения: 8735
- Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
- ОС: Slackware-current
- Контактная информация:
Re: Обновления безопасности в Slackware
браузер - такая штука, которая должна обновляться самостоятельно, для большей оперативности.
PS: Mozilla/5.0 (X11; Linux i686; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
PS: Mozilla/5.0 (X11; Linux i686; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Re: Обновления безопасности в Slackware
В принципе оно так, но апдейты на софт поставляемый в составе дистрибутива,
как правило постят создатели дистров, сегодня на фокс забили, завтра на что-нибудь
еще...
как правило постят создатели дистров, сегодня на фокс забили, завтра на что-нибудь
еще...
Memento mori ... сделай бэкап.
Re: Обновления безопасности в Slackware
Во первых,
http://slackware.com/security/viewer.php?l...security.450340
Во-вторых,
6.0.2 и 3.6.22 отсутствуют в списке уязвимых (хотя в списке неуязвимых тоже отсутствуют). Хотя, следует признать, что наличие уязвимости следует из "пофикшено в" 7.0/3.6.23.
В третьих,
слакбилд в наличии http://slackware.osuosl.org/slackware-curr...ozilla-firefox/, просто добавить тарбол с нужными исходниками.
http://slackware.com/security/viewer.php?l...security.450340
Во-вторых,
6.0.2 и 3.6.22 отсутствуют в списке уязвимых (хотя в списке неуязвимых тоже отсутствуют). Хотя, следует признать, что наличие уязвимости следует из "пофикшено в" 7.0/3.6.23.
В третьих,
слакбилд в наличии http://slackware.osuosl.org/slackware-curr...ozilla-firefox/, просто добавить тарбол с нужными исходниками.
Re: Обновления безопасности в Slackware
http://slackware.osuosl.org/slackware-13.37/ChangeLog.txt
http://slackware.osuosl.org/slackware-13.3..._slack13.37.txz
Код: Выделить всё
Tue Oct 11 23:18:55 UTC 2011
patches/packages/file-5.09-i486-1_slack13.37.txz: Upgraded.
patches/packages/httpd-2.2.21-i486-1_slack13.37.txz: Upgraded.
Respond with HTTP_NOT_IMPLEMENTED when the method is not
recognized. [Jean-Frederic Clere] SECURITY: CVE-2011-3348
Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20.
PR 51748. [<lowprio20 gmail.com>]
For more information, see:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348
(* Security fix *)
patches/packages/mozilla-firefox-7.0.1-i486-1_slack13.37.txz: Upgraded.
This release contains security fixes and improvements.
For more information, see:
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
(* Security fix *)
patches/packages/seamonkey-2.4.1-i486-1_slack13.37.txz: Upgraded.
This update contains security fixes and improvements.
For more information, see:
http://www.mozilla.org/security/announce/
(* Security fix *)
patches/packages/seamonkey-solibs-2.4.1-i486-1_slack13.37.txz: Upgraded.
http://slackware.osuosl.org/slackware-13.3..._slack13.37.txz
Re: Обновления безопасности в Slackware
Самостоятельно обновить фокс или любую другую нужную программу - не проблема,
сильно не порадовало то, что на офсайте slackware нет информации ни об уязвимости,
ни об апдейтах подготовленных создателем дистрибутива. До сих пор нет кстати...
сильно не порадовало то, что на офсайте slackware нет информации ни об уязвимости,
ни об апдейтах подготовленных создателем дистрибутива. До сих пор нет кстати...
Memento mori ... сделай бэкап.
Re: Обновления безопасности в Slackware
Ну как же нет, вот вам hottab процитировал, с 11 октября 11 года есть, и соответствующее указание "(* Security fix *)" есть.
http://slackware.osuosl.org -- это официальное зеркало slackware.com. На slackware.com тоже есть.
ChangeLog.txt -- это основной источник информации о вышедших для конкретного релиза обновлениях (/patches/{packages,source}).
Он же источник для принятия решения официальным же пакетным менеджером slackpkg об обновлении информации о пакетах: slackpkg update && slackpkg upgrade-all
Письма в рассылке Slackware Security Advisories действительно нет. В этом проблема? Разве это проблема?
ps.
http://slackware.osuosl.org -- это официальное зеркало slackware.com. На slackware.com тоже есть.
ChangeLog.txt -- это основной источник информации о вышедших для конкретного релиза обновлениях (/patches/{packages,source}).
Он же источник для принятия решения официальным же пакетным менеджером slackpkg об обновлении информации о пакетах: slackpkg update && slackpkg upgrade-all
Письма в рассылке Slackware Security Advisories действительно нет. В этом проблема? Разве это проблема?
ps.
("http://www.slackbook.org/beta/") писал(а):Chapter 18. Keeping Track of Updates
The -stable Branch
...
So how do you know when there are updates? The best way is to consult the ChangeLog.txt on any up-to-date mirror. You can always find the latest changelogs for the "-current" and most recent "-stable" branch on the Slackware Project's web page, but if you're running an older version of Slackware, you'll need to check a mirror.
Re: Обновления безопасности в Slackware
За ссылку на http://slackware.osuosl.org спасибо.
Факт наличия исправлений безопасности всегда смотрел тут:
http://www.slackware.com/security/list.php...rity&y=2011
Логично вроде видеть эту информацию на офсайте, тем более за те 2 года, что я пересел
на slackware - там все постилось вовремя. Вопрос по моему исчерпан.
Апдейт есть, но глубоко в зеркалах.
Факт наличия исправлений безопасности всегда смотрел тут:
http://www.slackware.com/security/list.php...rity&y=2011
Логично вроде видеть эту информацию на офсайте, тем более за те 2 года, что я пересел
на slackware - там все постилось вовремя. Вопрос по моему исчерпан.
Апдейт есть, но глубоко в зеркалах.
Memento mori ... сделай бэкап.
Re: Обновления безопасности в Slackware
Про "глубоко в зеркалах" -- это скорее результат какого-то непонимания.
Тут в чём дело. Структура репозитория Slackware в части обновлений после выпуска такова:
Тоже самое для каждой версии, например, ftp://ftp.slackware.com/pub/slackware/slackware-8.1/
Выпускаемые обновления приходят в /patches, запись о них делается в /ChangeLog.txt. Если это обновление безопасности, запись маркируется как (* Security Fix*).
ChangeLog.txt от текущей стабильной и -current версии также доступен на http://slackware.com/changelog/
И оно в таком виде существует довольно давно.
То есть, апдейты не "глубоко в зеркалах", а там, где им отведено место в репе ещё на момент выпуска версии дистрибутива, и где положено проверять их наличие. Вариантов проверки, естественно, не один, можно при помощи недавно ставшего официальным slackpkg, можно по старинке rsync-ом в cron-е, можно ещё как-то, суть от этого не меняется.
Есть почтовая рассылка "Slackware Security Advisories", содержимое которой дублируется на http://slackware.com/security/. Насчёт того, были ли и ранее случаи выхода security fix без анонса в рассылке, судить не берусь, но если имеется подобный интерес и желание его удовлетворить --все необходимые источники для подобного исследования (логи и архив рассылки) есть ;-)
Тут в чём дело. Структура репозитория Slackware в части обновлений после выпуска такова:
Код: Выделить всё
ftp://ftp.slackware.com/pub/slackware/ -- корень для версий
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/ -- корень для конкретной версии (slackware-13.37)
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/ChangeLog.txt -- перечень обновлений для версии
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/ -- обновления для версии, на момент выпуска тут пусто
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/packages -- бинарные пакеты обновлений
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/source -- сценарии сборки и исходники
Тоже самое для каждой версии, например, ftp://ftp.slackware.com/pub/slackware/slackware-8.1/
Выпускаемые обновления приходят в /patches, запись о них делается в /ChangeLog.txt. Если это обновление безопасности, запись маркируется как (* Security Fix*).
ChangeLog.txt от текущей стабильной и -current версии также доступен на http://slackware.com/changelog/
И оно в таком виде существует довольно давно.
То есть, апдейты не "глубоко в зеркалах", а там, где им отведено место в репе ещё на момент выпуска версии дистрибутива, и где положено проверять их наличие. Вариантов проверки, естественно, не один, можно при помощи недавно ставшего официальным slackpkg, можно по старинке rsync-ом в cron-е, можно ещё как-то, суть от этого не меняется.
Есть почтовая рассылка "Slackware Security Advisories", содержимое которой дублируется на http://slackware.com/security/. Насчёт того, были ли и ранее случаи выхода security fix без анонса в рассылке, судить не берусь, но если имеется подобный интерес и желание его удовлетворить --все необходимые источники для подобного исследования (логи и архив рассылки) есть ;-)
Re: Обновления безопасности в Slackware
Насчет "глубоко", похоже погорячился, как я понял ChangeLog - первичен, а остальное как получится.
Фишку про ChangeLog не знал, возьму на заметку. Спасибо за исчерпывающую информацию.
Фишку про ChangeLog не знал, возьму на заметку. Спасибо за исчерпывающую информацию.
Memento mori ... сделай бэкап.