Оказывается, майские праздники действуют расслабляюще не только на россиян, но и на международный коллектив разработчиков Linux. Еще 3 мая один из специалистов по компьютерной безопасности предупредил общественность, что очень близок к раскрытию критической уязвимости в известной программе обработки изображений ImageMagic. Последствия эксплуатации злоумышленниками могут быть очень тяжелыми.
4 мая был выложен эксплоит. Ситуация усугубляется не только тем, что ошибка в ImageMagic позволяет удаленное выполнение кода, но и тем, что этот пакет активно используется огромным количеством web-сайтов для обработки изображений, загружаемых пользователями. Казалось бы, время не ждет.
Прошло еще 2 дня. И как же отреагировали производители дистрибутивов, особенно тех, которые позиционируются как высококачественные и надежно защищаемые (Debian, RHEL и т.п.).
Разработчики Debian написали, что их не устраивают заплатки, предоставленные разработчиками ImageMagic. Свои заплатки они писать не будут и будут просто ждать. На 6 мая статус unfixed.
RHEL. Заплатки всё еще нет. Предложено ждать. Рекомендованы паллиативные меры.
Ubuntu. Пока даже не определились с подходящим разделом для багрепорта и не выяснили список подверженных версий.
Остальные дистрибутивы. Заплаток нет, когда появятся не сообщается.
Опять-же. Какое отношение userspace тулза ImageMagick, которая есть в том числе и под венду, имеет к Linux ? Почему, облажались разработчики какой-то прикладной софтины, а в новости пишут "коллектив разработчиков Linux" ? Причём тут они ?
А вообще, разработчики дебиана, что-то очень печалят меня своим отношением к багфиксам, сторонние заплатки их не устраивают, а свои они не пишут. То есть ни себе, ни людям. Замечательно. А не о**ели они там часом ? Временно принять кривые заплатки и подождать нормальных, религия запрещает ? Совсем недавно сообщество openwrt именно так вот и развалилось.
Обидно за Debian.
Дебиан с Squeeze катится вниз.Седьмой выпуск был отвратителен,восьмой ненамного лучше.Я говорю именно о системе а не о DE.
А что конкретно не так в Debian 7 и Debian 8 ?
Debian 7 перейдя на systemd всё-же оставил в пакетах систему инициализации init,что значительно замедлило запуск и привело к постоянным ошибкам инициализации,в логах это было видно.Debian8 идя на поводу Поттеринга,был вынужден сменить версии библиотек,сделав невозможным использование многих программ.
Но в Debian 7 дефолтная система — sysvinit ,и она вроде-бы работает неплохо для своих возможностей .
Ну да,а systemd-sysv проходя мимо,приклеился?
Это для Debian 8 зависимость .В 7-м его нет.
Даже если так, какие еще остались альтернативы? В других дистах в разы больше глюков.
Кстати, а что с ImageMagick под Windows?
Да,не переживайте,болячка позволяет выполнить код при обработке специально оформленных изображений в PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick.Это для сайтов проблема.
В арчике уже все залатали. С последним обновлением пришло.
Что пришло-то? Заплатки с сайта ImageMagic "сомнительны с точки зрения эффективности защиты". Или арчеводам без разницы? .)