Рассматривается возможность обеспечения длительной LTS-поддержки Debian Squeeze
Обновления планируется поставлять через отдельную ветку squeeze-lts. Выпуск обновлений будет ограничен для архитектур amd64 и i386. Кроме того, на некоторые пакеты, в силу их специфики, не будет распространяться расширенная поддержка. С другой стороны, планируется ограничить время поддержки для некоторых видов пакетов из состава Wheezy, таких как браузеры на базе движка WebKit.
Из планов, в отношении будущих выпусков, отмечается переход на улучшенную систему защиты по переполнения стека, которая появится в GCC 4.9 (-fstack-protector-strong). В настоящее время для около 95% стандартных или приоритетных пакетов (priority:standard или выше) обеспечена возможность сборки с включением дополнительной защиты через dpkg-buildflags (дополнительные проверки формирования строки, D_FORTIFY_SOURCE, защита стека и т.д.). Рассматривается возможность включения по умолчанию опции монтирования hidepid=1 для procfs, при которой пользователю запрещён вход в поддиректории /proc/pid/ с данными о не принадлежащих ему процессах, что позволит защититься от целого класса проблем, связанных с утечкой информации.
Также планируется пересмотреть подготовку исправлений для уязвимостей, связанных с атаками через символические ссылки. В поставляемом в Wheezy ядре включена опция блокирования подобных атак (fs.protected_symlinks), что позволяет рассматривать некоторые категории связанных с символическими ссылками уязвимостей как неопасные для пользователей дистрибутива. С другой стороны, подобная функция не включена для сборок на базе ядер FreeBSD и Hurd, поэтому будут рассмотрены способы реализации аналогичной защиты для данных платформ.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39248
|
0 | Tweet | Нравится |
|