2014-03-06

Рассматривается возможность обеспечения длительной LTS-поддержки Debian Squeeze

Участники команды Debian Security Team подвели итоги состоявшейся в феврале встречи разработчиков. Среди прочего, сообщается о возможности реализации расширенной поддержки (LTS) для прошлой стабильной ветки Debian Squeeze. В соответствии с устоявшейся практикой, поддержка прошлой стабильной ветки прекращается спустя год после выпуска очередного значительного релиза. Время поддержки Debian Squeeze истекает в мае. В случае воплощения плана по приданию Debian Squeeze статуса LTS, обновления с устранением уязвимостей будут выпускаться значительно дольше.

Обновления планируется поставлять через отдельный репозиторий squeeze-lts. Выпуск обновлений будет ограничен для архитектур amd64 и i386. Кроме того, на некоторые пакеты, в силу их специфики, не будет распространяться расширенная поддержка. С другой стороны, планируется ограничить время поддержки для некоторых видов пакетов из состава Wheezy, таких как браузеры на базе движка WebKit.

Из планов, в отношении будущих выпусков, отмечается переход на улучшенную систему защиты по переполнения стека, которая появится в GCC 4.9 (-fstack-protector-strong). В настоящее время для около 95% стандартных или приоритетных пакетов (priority:standard или выше) обеспечена возможность сборки с включением дополнительной защиты через dpkg-buildflags (дополнительные проверки формирования строки, D_FORTIFY_SOURCE, защита стека и т.д.). Рассматривается возможность включения по умолчанию опции монтирования hidepid=1 для procfs, при которой пользователю запрещён вход в поддиректории /proc/pid/ с данными о непринадлежащих ему процессах, что позволит защититься от целого класса проблем, связанных с утечкой информации.

Также планируется пересмотреть подготовку исправлений для уязвимостей, связанных с атаками через символические ссылки. В поставляемом в Wheezy ядре включена опция блокирования подобных атак (fs.protected_symlinks), что позволяет рассматривать некоторые категории связанных с символическими ссылками уязвимостей как неопасные для пользователей дистрибутива. С другой стороны, подобная функция не включена для сборок на базе ядер FreeBSD и Hurd, поэтому будут рассмотрены способы реализации аналогичной защиты для данных платформ.

source1
source2

Комментариев нет:

Отправить комментарий