Bizdelnick писал(а): ↑21.12.2015 16:43
Если соответствующий баг там и есть, то, как и все баги, связанные с безопасностью, скрыт до тех пор, пока не будет исправлен. Да и с учётом того, что CVE опубликовали ещё в сентябре, все заинтересованные должны быть в курсе, даже если багрепорта не было.
Really! Вот что-что, а присланную мейнтейнеру пакета php ссылку на багу php трехмесячной давности я бы реально посчитал оскорблением, на месте мейнтейнера.
Bizdelnick, вы думаете? такое действительно принято; но в несколько иных, вроде бы, ситуациях... какой смысл скрывать багу на багзилле, когда бага на php.net всем давно доступна.
Я объясню... неделю назад аккурат всю ночь просидел, копаясь в файлах и конфигах, пытаясь понять, почему, несмотря на все принятые меры, зараза все-таки просачивается на сайт... думал до этого, что достаточно адекватно настроил в контексте безопасности этот веб-сервер. Selinux, безопасные permissions, open_basedir, disable_functions, отсутствие левых расширений на сайте... хваленый RHEL 7.1.... не секрет, что многие админы дебиана, скажем, даже не подозревают, что selinux есть и у них, только отключен по-дефолту; но нет же, потому и предпочел RHEL/Centos, что допиленный в редхате selinux отлично работает почти из коробки, всего только chcon сделаешь, ну и setsebool для почты, и привет, все пашет. Так и не понял, в чем прикол, откатился из бэкапа и лег спать. А как проснулся, уже вовсю трубили про "уязвимость первого дня"... погуглил на тему, и стало мне совсем нехорошо. Тут сообщения посыпались от пользователей, не только на
форум, но и на почту, взломы и взломы... сравнили шеллы и логи, погуглили инфу на тему, и завертелись у меня на языке непарламентские выражения, и не в адрес Joomla team.
Джумлаводы действительно выпустили security-фикс в аварийном порядке; прикрыв тем самым, помимо своих, еще и неисправленную, читай по*еренную его преосвященством RedHat багу... молодцы. И коммерческий ведь дистриб, я RHEL имею в виду!.. Невольно приходит в голову смелое предположение, что стиль работы мейнтейнеров федорки, о котором уже позволил себе высказать субъективное мнение чуть выше... всецело в русле логики работы RedHat.