13 января 2016 г., 11:01 пользователь Andrey Melnikoff <temnota+n...@kmv.ru> написал: > Max Dmitrichenko <dmitr...@gmail.com> wrote: >> Производитель софтины фиксит у себя апстрим. С хорошей вероятностью >> патч, который фиксит проблему, подойдет к той версии пакета, которая в >> stable или в oldstable. Но может быть и так, что: >> 1) Патч не подходит (не накладывается) > С чего бы это?
Так бывает. Контекст патча может отличаться между upstream и соотв. местом в исходниках старой версии. >> 2) Софтина давно не поддерживается разработчикам > Выкинуть и собрать свежую, поддерживаемую. Нихрена. Политика debian не разрешает обновлять версии пакетов в stable. За исключением volatile, куда кладутся браузеры и ещё что-то типа антивирусов, кажется. К этому пришли именно потому, что затрахались портировать фиксы проблем безопасности, коих в браузерах чуть больше чем до хрена, из апстрима в версию stable и oldstable. >> > А вот возьмем другой CVE-2015-8668 на libtiff5 - во, тут думать надо, >> > апстрим не разродился патчем - поэтому и починим как разродиться. > >> И если не разродится, то так и забьют? ) > Таки да. Багов вида "не работает" в трекере - вагон, и на большенство - > забито с прибором. Ещё раз. Мы сейчас говорим о проблемах с security и только о них. Багов вида "у меня не работает", "у меня глючит", "у меня падает", действительно дохрена. Но вот security-баги устраняются всегда и достаточно быстро, если речь про stable. Ну и в качестве дополнительного свидетельства того, что мейнтейнер имеет (и использует) творческую возможность в приготовлении патчей с отсебятиной, нельзя не вспомнить багу, которую мейнтейнеры внесли в Debian в генератор случайных чисел, из-за чего ключи генерились очень ограниченные. -- With best regards Max Dmitrichenko