Explicação do tempo de compilação da versão em oposição ao número da versão, por exemplo, OpenSSL 1.0.1e versus h [duplicate]

Question

Explicação do tempo de compilação da versão em oposição ao número da versão, por exemplo, OpenSSL 1.0.1e versus h [duplicate]

#1 resposta do (3 votos)

3

Esta pergunta já tem uma resposta aqui:

Openssl atualizado via apt-get, 'versão openssl' mostrando a versão anterior 2 respostas

Recentemente, para lidar com erros SSL recentemente revelados eu atualizei minha distribuição Debian pura. O OpenSSL relata um número de versão de 1.0.1e que não é o mais recente, no entanto, me disseram que está tudo bem, porque o tempo de construção relatado produzido por:

openssl version -b

é 4 de junho de 2014. Então, mesmo que a "versão" seja mais antiga, eu tenho certeza que o Debian de alguma forma "corrigiu" as vulnerabilidades, então eu realmente não preciso de 1.0.1h como mensagens de segurança, porque meu 1.0 .1e é corrigido.

Eu acho que não entendo isso. Alguém pode explicar o que diabos está acontecendo? Como eu deveria saber que as vulnerabilidades são corrigidas se ele diz 1.0.1e, não 1.0.1h como deveria? Por que o Debian simplesmente não coloca 1.0.1h na distribuição? Eu não entendo isso.

security openssl patch debian

por Tyler Durden 05.06.2014 / 21:42

1 resposta

Tags security openssl patch debian

arquivo NFS com o mesmo nome, mas conteúdo diferente dependendo do host ldconfig não seguindo o link simbólico criado pelo usuário

score 3 · Answer 1

Você provavelmente está olhando para o Debian stable, que mantém as versões de pacotes estáveis por definição. Qualquer que seja a versão do openssl que um release específico de stable lançado seja aquele com o qual ele permanecerá. Para correções de segurança, os mantenedores do Debian backport os patches de segurança do upstream para a versão estável ao invés de atualizar a versão estável. Se você quer a versão mais recente de tudo, então você precisará da ramificação instável.

Da FAQ da equipe de segurança da Debian :

Q: Why are you fiddling with an old version of that package?

The most important guideline when making a new package that fixes a security problem is to make as few changes as possible. Our users and developers are relying on the exact behaviour of a release once it is made, so any change we make can possibly break someone's system. This is especially true in case of libraries: make sure you never change the Application Program Interface (API) or Application Binary Interface (ABI), no matter how small the change is.

This means that moving to a new upstream version is not a good solution, instead the relevant changes should be backported. Generally upstream maintainers are willing to help if needed, if not the Debian security team might be able to help.

In some cases it is not possible to backport a security fix, for example when large amounts of source code need to be modified or rewritten. If that happens it might be necessary to move to a new upstream version, but this has to be coordinated with the security team beforehand.