hi, Mon, Aug 08, 2016 at 00:14:38, aliv wrote about "[uanog] RE: [uanog] Вопрос про обновление perl port в FreeBSD.":
Это я понимаю, просто почему то представлял себе, что публикация информации о vulnerability должна производиться после того, как уже будет фикс. Судя по всему vulnerability нашли 21 июля и публикация произошла ровно через 2 недели, а фикса все нет. Perl, вроде, не такая уже редко используемая вещь :)
Не так. Есть раздельно факт некоторой уязвимости (которая зарегистрирована в CVE или аналоге, ей дан код) и есть фикс. Сейчас очень многие уязвимости проходят по пути, когда они вначале сообщаются только авторам продукта, им даётся время на исправление (до полугода в сложных случаях) и только после этого открывается суть проблемы. Вот сейчас у меня на домашней машине хром, про который известно: chromium-51.0.2704.103 is vulnerable: chromium -- multiple vulnerabilities CVE: CVE-2016-5137 CVE: CVE-2016-5136 CVE: CVE-2016-5135 [...] и если посмотреть по их номерам, то бо́льшая часть из них будет с секретной сутью (а для свежих версий ещё без фикса, но уже с регистрацией). В результате поставить его можно, только явно указав на желание ставить дырявое - несмотря на то, что дырки известны только отдельным хакерам (не важно, black или white hat). Но это с секретными дырами. Есть несекретные, но обновления от майнтейнера нет. (Кстати, с хромом частично то же самое - текущая версия в портах уже старая.) Есть сомнительные - то ли дыра, то ли нет. Недавно вообще был цирк - проблему с http proxy модулем записали как уязвимость во все версии Python, оно так повисело недельку, а потом сняли - решили, что это не проблема фреймворка, а проблема писателей целевого кода. Конкретно эта перловая проблема помечена, что ею сложно воспользоваться. -netch-