Безопасно ли обновляться из Сизифа сейчас?

[trs]

Поэтому стандартная практика при релизе софта проверять его различными анализаторами и набором антивирусных программ.

Стандартная практика при релизе вируса - проверять его на антивирусах. То есть антивирусы начинают детектировать после успешного начала атаки. Пример - Rustock.C, который искали якобы несколько лет (про сроки - вопрос спорный, но из всей индустрии нашёл его только Dr.Web). Микрософту пришлось применять админ ресурс и ФБР, что бы уничтожить ботнет, т.е. технических средств не хватило.

В случае свободного софта исходники должен просматривать мантейнер пакета перед сборкой. И подобное выявлять.

Атаки будут через неявные ошибки типа переполнения стека или буфера. Подобно как коммитеры из университета Миннесоты внедряли в ядро. Если бы такое могли выявлять во всех случаях, CVE бы не было.

[Антон Мидюков]

Атаки будут через неявные ошибки типа переполнения стека или буфера.

Тогда ничего не поменяется. Такого рода были, есть и будут.
Это точно не вирусы, антивирусники бесполезны.

[trs]

Тогда ничего не поменяется.

Уже изменилось отношение "прогрессивного" общества к авторам атак. Если раньше было порицание, то теперь один из крупнейших  спонсоров СПО Марк Цукерберг (запрещён в РФ как террорист, призывающий убивать по национальному признаку) одобряет.

[Антон Мидюков]

Уже изменилось отношение "прогрессивного" общества к авторам атак. Если раньше было порицание, то теперь один из крупнейших  спонсоров СПО Марк Цукерберг (запрещён в РФ как террорист, призывающий убивать по национальному признаку) одобряет.

Сделать дыру, которая будет дырой только для России, проблематично. Дыра она для всех. Поэтому вредоносный код будут пихать больные на голову во всякие npm пакеты.

[aleksey-v.]

неявные ошибки типа переполнения стека или буфера.

Такие ошибки как раз отлавливаются статическими и динамическими анализаторами кода.

[trs]

Прикрепляю реальный пример. Данный patch внедрил только для России переполнение стека в пакетном менеджере. Не утверждаю, что помимо отказа в обслуживании возможна эксплуатация с исполнением кода (автор не ставил такой цели, а я не проверял), но данные на стеке зависят от содержимого пакета. Кто-то увидит ошибку? Она очевидна.

[aleksey-v.]

Первое, что бросается в глаза - я не понимаю, для какой версии этот патч. Даты, версии, пути к файлам - ничего вместе не совпадает.

[буратино-42]

Уже изменилось отношение "прогрессивного" общества к авторам атак.
.. один из крупнейших  спонсоров СПО XXX ... одобряет.

1. "изменилось отношение" - нет
   оно всегда было таким - "XXX - превыше всего"
     текущая сетуация ничего не изменила.
      а только подчеркнула то, что было прежде.
   
   оговорка: это в среднем, в частности может быть наоборот

2. "спонсор XXX" - это не автор кода, а денежный мешок

[trs]

Первое, что бросается в глаза - я не понимаю, для какой версии этот патч. Даты, версии, пути к файлам - ничего вместе не совпадает.

Нет необходимости понимать версию (впрочем, она указана прямо в наименовании патча). Просто смотрится файл и ошибку сразу видно, но почему-то не всем (патч прошёл "аудит" и QA, дошёл до пользователей).

"спонсор XXX" - это не автор кода, а денежный мешок

То есть мотиватор для множества авторов.

[aleksey-v.]

Мне уже любопытно, какая же целевая версия для патча? 

[trs]

Мне уже любопытно, какая же целевая версия для патча? 

Я же пишу, указана в наименовании: rpm-5.4.10
Вы хотите накатить патч и прогнать под "статическими и динамическими анализаторами кода"? Поздно, патч был давно принят другими людьми. Это просто пример, с которым лично сталкивался, и который показывает, что оптимизма может быть многовато.

[aleksey-v.]

накатить патч и прогнать под "статическими и динамическими анализаторами кода"

От Вас ничего не скроешь.    Верно, хотел. Беда в том, что эти программы, особенно которые находят реальные проблемы в коде, стоят немалых денег.

Но я искренне не понимаю, о какой версии идёт речь. Пусть даже там этот патч накатили или откатили, куски кода, названия функций или хотя бы имена файлов должны совпадать.
Чтобы точно говорить об одном и том же, у Вас под рукой есть ссылка на репозиторий, где найти эту версию?

[буратино-42]

То есть мотиватор для множества авторов.

Укажите пожалуйста, место в коде в репозитории Альта
 где какой нибудь автор под влиянием "мотиватора XXX"
  внёс вредоносные изменения

Вы нарушаете правила форума.
 (приводите примеры уязвимостей не относящиеся к ALT Linux).

[aleksey-v.]

Простите, что плохого в обсуждении уязвимостей?
Говоря простым языком, все берут код "из одной коробки". Будь то github.com, git.kernel.org или sourceforge.net.
Крупные разработчики их ещё и модифицируют, выпускают внутренние патчи под конкретных клиентов, портируют новые фичи в старые версии. Как, например, RHEL годами сидит на одном ядре, вытаскивая их новых нужные исправления.

[буратино-42]

Простите, что плохого в обсуждении уязвимостей?

обсуждать нужно в соответсвующей теме.
здесь - не место.

Иначе складывается впечатление
 что речь идёт об уязвимостях в Сизифе.