версия openssl в репозитории 5 платформы

[george]

Здравствуйте!

Заинтересовал вопрос версии opennssl в репозитории 5 платформы.
Там версия 0.9.8k, а сейчас актуальная версия openssl 0.9.8n (http://openssl.org/news/)
с важными, как там сказано, багфиксами с момента выхода 0.9.8k.
Актуальны ли эти баги для репозиторной версии (вышла она в мае 2009) или она как-то хитро
пропатчена, что на нее эти уязвимости не распространяются?
То есть почему openssl не обновляется до последней версии столько времени?
Потому что он неуязвим :)?
В src.rpm в числе множества патчей видел и owl. Какую роль они там выполняют?
Они задействованы по умолчанию или их надо как-то "активировать"?

[Skull]

Там один серьёзный фикс, но его сложно задействовать и бэкпортировать, не порушив бинарную совместимость.
Патчи задействованы по умолчанию и служат для успешной сборки и бэкпортов.

[yaleks]

Там один серьёзный фикс, но его сложно задействовать и бэкпортировать, не порушив бинарную совместимость.
Патчи задействованы по умолчанию и служат для успешной сборки и бэкпортов.

т.е. в альте уязвимость присутствует?!

[ruslandh]

Спросите в рассылке, предварительно поискав в её архиве, может кому-то и отвечали уже.

[george]

Там один серьёзный фикс, но его сложно задействовать и бэкпортировать, не порушив бинарную совместимость.
Патчи задействованы по умолчанию и служат для успешной сборки и бэкпортов.

А можно ссылку на описание уязвимости, о которой Вы говорите?
Хочется понять насколько она критична.
Может для нее есть какой-нибудь workaround?
И хотелось бы узнать, как дальше будут обстоять дела с исправлением этой и подобных уязвимостей в стабильных
бранчах?
Означает ли это, что стабильный бранч теперь так и останется без исправлений, пока не выдет новая ветка?
Честно говоря, уязвимость в самой основе безопасности системы - библиотеке шифрования, на которой основывается безопасная работа в интернете (а это, например, и шифрованный интернет-доступ к банковским щетам
через браузер) - это не шутка.
В других же дистрибутивах все это патчится и исправляется, выходят обновления
openssl, причем без пересборок остальных приложений. Например:
http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.615467
http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.663049
http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.597446

Я все это говорю как раз потому, что я работаю на Альте и на работе, и дома, Альт мне очень нравится за
высокую скорость работы (оптимизированность кода), превосходную русифицированность, большой репозиторий,
удобный центр управления системой и т.д. И я не хочу с Альта уходить из-за его уязвимости.
Есть ли какой-нибудь способ не беспокоиться о своей безопасности, работая на Альте?
Переход на Sisyphus прошу не предлагать :).

[ruslandh]

Спросите в рассылке sysadmins, и непосредственно в багзиле у мантейнера
https://bugzilla.altlinux.org/show_bug.cgi?id=8922
Возможно эта уязвимость к ALT вообще неприменима - всё таки разница в коде, по сравнению с стандартным пакетом есть, да и среда окружения другая.

PS Трудно отвечать, не имея прямой ссылки на описание уязвимости.

[Skull]

А можно ссылку на описание уязвимости, о которой Вы говорите?
Хочется понять насколько она критична.

Не особо критична. Можете почитать в рассылке разработчиков openssl.

Мейнтейнер этого пакета по совместительству является главным специалистом ALT Linux по безопасности и я передавал информацию непосредственно от него. Поводов для паники нет, новую версию нет смысла торопится пересобирать.

[george]

А можно ссылку на описание уязвимости, о которой Вы говорите?
Хочется понять насколько она критична.

Не особо критична. Можете почтать в рассылке разработчиков openssl.

Мейнтейнер этого пакета по совместительству является главным специалистом ALT Linux по безопасности и я передавал информацию непосредственно от него. Поводов для паники нет, новую версию нет смысла торопится пересобирать.

Спасибо!