LINUXTALKS.CO

Alma Linux столкнулся с нежеланием Red Hat принимать их исправление в CentOS Stream

 

L


0

1

После перехода на новую модель сопровождения дистрибутива, допускающую применение собственных патчей, разработчики Alma Linux устранили в пакете iperf3 уязвимость (CVE-2023-38403) и попытались передать подготовленное исправление в CentOS Stream, так как уязвимость оставалась неисправленная в RHEL и CentOS Stream. Сотрудник Red Hat отказался принимать исправление, сославшись на правило, допускающее устранение только важных проблем.

Уязвимость CVE-2023-38403 была оценена инженерами Red Hat как несущественная, а исправления для подобных проблем включаются в пакеты лишь при необходимости, обусловленной наличием запросов от клиентов или потребностями бизнеса. Представитель Alma Linux выразил недоумение, так как для включения в CentOS Stream передан уже готовый патч, устраняющий проблему, и от Red Hat не требовалось самостоятельно создавать исправление, а нужно было лишь рецензировать готовое изменение, принятое в кодовую базу проекта iperf.

Разработчик из Alma Linux также не согласился с тем, что уязвимость незначительная, так как устранённая ошибка приводит к целочисленному переполнению и повреждению памяти процесса при передаче некорректного значения в поле с размером данных. Утилита iperf3, предназначенная для тестирования сетевой производительность, использует клиент-серверную модель, в которой клиент через TCP-соединение отправляет серверному процессу запрос с параметрами, а сервер выполняет тестирование и возвращает результат. Уязвимость позволяет отправить специально оформленное сообщение и вызвать повреждение памяти (атака возможна как с клиента на сервер, так и с сервера на клиента).

На практике, уязвимость позволяет злоумышленнику атаковать существующие публично доступные серверы iperf3 или создать свой сервер и атаковать через него подключающихся пользователей. Предполагается, что эксплуатация уязвимости ограничивается аварийным завершением процесса, но даже в этом случае, возможность удалённо вызвать крах серверного процесса iperf3 на публично доступных серверах, требует исправления.

В ответ, сотрудник Red Hat пояснил, что готовым патчем дело не ограничивается и разработка исправления лишь один из этапов в подготовке обновления пакета - необходимо убедиться, что исправление проходит контроль качества и после применения в пакете не приводит к регрессивным изменениям. Поэтому в обязательном порядке устраняются только критические и важные уязвимости, а проблемы с низким и средним уровнем опасности решаются по мере появления необходимости. В конечном счёте, после дискуссии сотрудники Red Hat из команды, отвечающей за безопасность, пересмотрели свою позицию, присвоили проблеме статус важной, приняли патч и выпустили обновление пакета с исправлением уязвимости.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter

>>> Подробности

★★☆☆☆

Анальные рабы пиндосской корпорации уже прибежали оправдывать хозяина?

alexferman    
★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

у меня такое же впечатление, поэтому и оформил как мини. всеравно задофф скорее всего принесет.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 2)

FreeBSD / Chrome
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90