Začátečnická otázka o aktualizacích v Linuxu

[PaSt .]

dnes v Postřezích z bezpečnosti vyšel článek o kritické zranitelnosti PuTTy, která zasáhla i aplikaci FileZilla.

  Jsem v linuxu začátečník, používám Ubuntu, a když dám pokus o update software, najde mi aplikaci FileZilla ve verzi 3.56, anebo skrze FlatPak ve verzi 3.66, avšak opravená je až 3.67. Jak dlouho to obvukle trvá, než se v repozitářích objeví nová verze, prosím? Nebo mám tedy raději instalovat ze zdroje, ale jak je to potom s update?

Dekuji, P.

[Reklama]

[_Tomáš_]

Ta zranitelnost je primárně k Windows, tam se putty nejvíce používá a netuším, jestli to postihlo i její linux klon (tam ale není moc potřeba a těžko s ním budeš generovat klíče na linuxu, když to umí distribuce nativně).

Pokud tomu nerozumíš (to v podstatě nebudeš nikdy, jako my všichni ostatní), instaluj vždy a pouze z oficiálních repositářů. Důležité opravy se do distribucí dostávají v hodinách až ve dnech, zpravidla se tam nenechávají otevřené dveře dlouho. Instalace odjinud mimo oficiální repositář je často ještě větší bezpečnostní riziko než počkání pár dní.

Ne vždy ale stačí pouze aktualizovat balíčky, třeba v případě putty se ještě musí přegenerovat postižené klíče a tam ti nezbývá nic jiného než pročíst k tomu informace a sám se rozhodnout, jestli musíš něco udělat navíc nebo ne.

[Filip Jirsák]

FileZilla na Linuxu pravděpodobně nepoužívá Putty.

Každopádně verze v distribucích nemusí přesně souhlasit s verzemi v upstreamu (tj. od autora aplikace). Distribuce někdy dělají to, že vezmou nějakou opravu z novější verze a backportují ji do nějaké starší verze (druhá věc je, zda to udělají správně). Tzn. i když máte v distribuci verzi 3.56, mohou v ní být zahrnuté některé opravy z verzi 3.57.

Obecně platí, že když používáte distribuci, spoléháte se na tu distribuci – měl byste průběžně aktualizovat (ideální je mít zapnuté automatické aktualizace). Pokud se někde bezpečnost řeší více, musí to někdo sledovat, které bezpečnostní chyby jsou v dané verzi softwaru v dané distribuci opravené (nebo to alespoň autoři distribuce tvrdí).

[PaSt .]

  Dobrý den,

děkuji mnohokrát za promptní odpovědi. Uklidnily.

  Ještě bych se dovolil zeptat, jaký je vlastně rozdíl mezi nativním repository a Flatpakem? Když se podívám do diskusí, najdu dva tábory, skoro jako VHS/Beta. V tomto konkrétním případě je Flatpak o kousek čersvější, než je naticní applikace, nicméně z tábora obhájců nativních repo zase zní, že jsou nativní repo efektivnějsí ve využívání již nainstalovaných součástí OS. A dost možná je i ta nativní verze aktuální, podle toho co píše p. Jirsák ...?

[Zopper]

Je to paralelní svět s odlišným přístupem. Zjednodušeně, Flatpak je dělaný na univerzální použití napříč distribucemi, což zjednodušuje život tvůrcům aplikací - nemusí řešit rozdíly mezi distribucemi a snažit se dostat svůj projekt do hromady různých balíčkových systémů v každé distribuci. Závislosti si ten program nese s sebou a pouští se ve standardizovaném prostředí.

Na druhou stranu, to znamená, že každý autor každého toho balíčku je zodpovědný za aktualizovaní všech knihoven, které přímo i nepřímo používá protože jsou součástí jeho instalace. A tak 10 programů znamená, že máte na disku 10x knihovnu K v různých verzích a často s různými zranitelnostmi. Zatímco nativní balíčky jsou vždy rozdělené do jednotlivých komponent závisejících na sobě, a knihovna K je tam jen jednou v relativně aktuální verzi s opravenýma chybama. A je obecně na správcích distribuce, aby se to drželo funkční a aktuální.

[Reklama]

[jjrsk]

Ta zranitelnost je primárně k Windows, ...

Ale kdeze, ta zranitelnost se tyce primarne konkretniho klice konkretniho algoritmu, a navic je do znacne miry hypoteticka, protoze k tomu potrebujes jeste pristup k verejne casti toho klice == musis se umet nejak prihlasit bud na klienta (a pak si privatni klic proste skopirujes tak jako tak) nebo na server pod stejnym userem nebo rootem/adminem ... a teprve pak se hypoteticky dostanes na stroje, na ktere muze uzivatel toho klice a ty ne.

...

Kazdej system je setrvale deravej. Ty tak maximalne muzes volit mezi tim, jestli chces nejaktualnejsi sw plny bugu, kde ti vecne nebude neco fungovat nebo jestli chces radsi neco starsiho, odladenejsiho a potencielne deravejsiho.

Jak tu zaznelo, distra typicky securitu backportujou, pokud to lze. Ale viz vejs, neni to zas tak tragicky jak by se mohlo zdat.