The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.02.2017 10:29  Оценка безопасности WebKit в дистрибутивах Linux

Майкл Катандзаро (Michael Catanzaro), один из разработчиков web-браузера Epiphany (GNOME Web), опубликовал отчёт об актуальности пакетов с браузерным движком WebKit в дистрибутивах Linux. Майкл попытался оценить изменение ситуации спустя год, после поднятия темы о поставке в большинстве дистрибутивов устаревших версий портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащих неисправленные опасные уязвимости.

В целом отмечается значительное улучшение ситуации с безопасностью пакетов с портами WebKit. Наибольшим достижением можно считать налаживание процесса обновления WebKitGTK+ в Ubuntu. Актуальный выпуск WebKitGTK+ 2.14.3, в котором было устранено 13 уязвимостей, доставлен пользователям Ubuntu 16.04/16.10, Fedora 24/25 и Arch Linux.

В прошлых LTS-ветках Ubuntu 14.04 и 12.04, а также в Red Hat Enterprise Linux, Oracle Linux и SUSE сохраняются пакеты со старой версией WebKit 1, так как замена на WebKit2 невозможна из-за изменения API, а WebKitGTK+ на базе WebKit1 уже не поддерживается. Замена WebKit 1 на WebKit 2 невозможна, так как приведёт к нарушению совместимости c зависимостями, а бэкпортирование исправлений в устаревшую ветку выглядит излишне трудоёмким процессом. WebKitGTK+ используется в таких приложениях, как Midori, Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Sushi и Yelp (GNOME Help).

В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные уязвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3. В штатной поставке устаревшая версия WebKitGTK+ 2.6.2 остаётся по формальным причинам, в том числе в ней остаются неисправленными некоторые серьёзные проблемы со стабильностью. Актуальный выпуск WebKitGTK+ 2 также доступен в ветках unstable и testing, но после заморозки testing, следующее обновление появится только в unstable.

Похожая ситуация в openSUSE: в репозитории Tumbleweed можно найти свежий выпуск WebKitGTK+, но в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости. К тому же, подготовке обновлений для openSUSE Leap 42.2 мешает то, что выпуск основан на пакетной базе SUSE Linux Enterprise с GCC 4.8, в то время как для сборки новых версий WebKit требуется как минимум GCC 4.9.

В Gentoo свежий выпуск WebKitGTK+ можно найти только в ветке "testing", а в стабильном репозитории предлагается выпуск 2.12.5, в котором имеется 42 уязвимости. Дистрибутив Mageia пытался выпускать обновления для Mageia 5, но не ушёл дальше выпуска WebKitGTK+ 2.12.4.

Дополнение: следом опубликован релиз WebKitGTK+ 2.14.4, в котором устранено 13 уязвимостей и включена возможность использования OpenGL для ускорения отрисовки.

  1. Главная ссылка к новости (https://blogs.gnome.org/mcatan...)
  2. OpenNews: Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux
  3. OpenNews: Выявление скрытых уязвимостей, возникающих из-за использования стороннего кода
  4. OpenNews: Оценка безопасности различных дистрибутивов Linux
  5. OpenNews: Дискуссия о возможности включения QtWebEngine в дистрибутивы Linux и другие ОС
  6. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.14 с полноценной поддержкой Wayland
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: webkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Анон007, 10:47, 10/02/2017 [ответить] [смотреть все]
  • –7 +/
    Да-да, увлекайтесь дальше вашим Eletron.atom.io. У-ха-ха-ха!
     
     
  • 2.2, Анон007, 10:48, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Electron.atom.io
     
  • 2.4, Аноним, 10:57, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +10 +/
    В  Electron не WebKit, а  libchromiumcontent c Blink и V8, который обновляется синхронно с Chromium.
     
     
  • 3.20, Аноним, 12:24, 10/02/2017 [^] [ответить] [смотреть все]
  • +18 +/
    Ну тогда продолжайте писать чаты и блокноты поверх браузера.
     
  • 1.3, Аноним, 10:51, 10/02/2017 [ответить] [смотреть все]
  • +4 +/
    Проблему изящно решили в RHEL5 Firefox 38 хочет GCC 4 7, 45 хочет GCC 4 8, в ре... весь текст скрыт [показать]
     
     
  • 2.8, Andrey Mitrofanov, 11:17, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    ff-52 или -49 , вроде как, хочет gcc-4 8, а тек ESR 45, 234567 Debian-овцы ... весь текст скрыт [показать] [показать ветку]
     
  • 2.13, vitvegl, 11:58, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    впихнуть можно куда угодно, и source rpm не исключение Конечно, это костыль, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 13:32, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Им повезло что Firefox не требует ничего из этого в системе Например Python исп... весь текст скрыт [показать]
     
     
  • 4.83, mickvav, 14:30, 13/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А мозилле нужно под виндами работать Там ей всё своё - только с собой переть, и... весь текст скрыт [показать]
     
  • 4.84, aim, 10:31, 21/02/2017 [^] [ответить] [смотреть все]  
  • +/
    да в докер бы запихали браузер
     
  • 2.15, Аноним, 12:09, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Изящество REHL ... весь текст скрыт [показать] [показать ветку]
     
  • 2.38, Аноним, 15:30, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Не верю Нету тут http www freshports org www firefox-esr http www freshpo... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Аноним, 16:29, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    http://vault.centos.org/5.11/updates/SRPMS/firefox-45.7.0-1.el5.centos.src.rp
     
  • 2.63, Аноним, 22:13, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А в чём проблема? Я просто с NixOS.
     
  • 1.6, Аноним, 11:13, 10/02/2017 [ответить] [смотреть все]  
  • –2 +/
    Забавно смотреть как купертино взяли кхтмл и запилили себе арбузер хоть как-то р... весь текст скрыт [показать]
     
     
  • 2.12, Аноним, 11:58, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Konqueror тоже на KHTML, тоже работающий даже чуть лучше, чем хоть как-то.
     
  • 2.64, Led, 00:04, 11/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не себе, а тебе И не арбузер, а зонд ... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, grsec, 11:15, 10/02/2017 [ответить] [смотреть все]  
  • +1 +/
    Дебиан стабилен, да)
     
     
  • 2.19, ryoken, 12:16, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Дебиан стабилен, да)

    Все на SID\Experimental! Ура, товарищи! :D

     
  • 2.21, Аноним, 12:37, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну так backports если он нужен, на сервере не очень понимаю зачем он нужен.
     
  • 1.10, eRIC, 11:35, 10/02/2017 [ответить] [смотреть все]  
  • –2 +/
    >Ситуация с безопасностью QtWebKit оставляет желать лучшего, так как кодовая база движка на >годы отстаёт от основного WebKit, а исправления бэкпортируются выборочно и не регулярно

    Один вопрос: зачем тогда этот QtWebKit такой дырявый нужен? Может основной WebKit использовать. Так же разделить на модульность приложение, чтобы версии WebKit'ту было меньше привязки

     
     
  • 2.27, имя, 13:35, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Его забросили в пользу построенного на Blink и менее удобного в использовании Qt... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Аноним, 15:11, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Есть свежий, не дырявый QtWebKit https github com annulen webkit wiki , но не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, nib, 15:29, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    включат, точнее уже
     
  • 1.17, Sluggard, 12:15, 10/02/2017 [ответить] [смотреть все]  
  • –1 +/
    > в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости

    Мда, стабильненько... В Leap 42.1 вообще 2.10.7 ещё.

     
     
  • 2.24, Michael Shigorin, 13:18, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    > В Leap 42.1 вообще 2.10.7 ещё.

    Ну Вы поняли. :)

     
     
  • 3.25, Sluggard, 13:25, 10/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Что поняли Что openSUSE в тексте новости упоминается, или что в оригинале по сс... весь текст скрыт [показать]
     
     
  • 4.30, Anonimus, 14:22, 10/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Просто Михаилу стало обидно, что его альт в новостях упоминается только как мест... весь текст скрыт [показать]
     
     
  • 5.31, Аноним, 14:32, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Кем упоминается?
     
  • 5.32, Sluggard, 14:42, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Не говорите глупостей.
     
  • 5.51, Michael Shigorin, 17:17, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    А давайте Вы не будете высказываться за других, когда они Вам такого права не да... весь текст скрыт [показать]
     
     
  • 6.65, Anonimus, 04:07, 11/02/2017 [^] [ответить] [смотреть все]  
  • +/
    В реальности есть такая новость https www linux org ru tag altlinux section 2... весь текст скрыт [показать]
     
     
  • 7.69, Michael Shigorin, 13:21, 11/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот и слетайтесь на LOR, здесь-то что забыли и нет, не пойду PS автор уда... весь текст скрыт [показать]
     
     
  • 8.78, Anonimus, 19:44, 11/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Не ваш личный бложек, Михаил, следите за руками Я не в курсе ваших религиозных ... весь текст скрыт [показать]
     
     
  • 9.79, Michael Shigorin, 21:17, 11/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    По существу-то что сказать хотели ... весь текст скрыт [показать]
     
     
  • 10.81, Anonimus, 08:23, 12/02/2017 [^] [ответить] [смотреть все]  
  • +/
    >Ну Вы поняли. :)

    То, что мы не поняли, только и всего.

     
  • 6.82, Анонымоус, 11:49, 12/02/2017 [^] [ответить] [смотреть все]  
  • +/
    > И да, мы набираем людей.

    Можно поподробнее?

     
     
  • 7.85, Michael Shigorin, 15:20, 21/02/2017 [^] [ответить] [смотреть все]  
  • +/
    https lists altlinux org pipermail devel 2016-May 201429 html актуально ... весь текст скрыт [показать]
     
     
  • 8.86, Michael Shigorin, 21:38, 26/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот ещё подробнее https lists altlinux org pipermail devel 2017-February 2023... весь текст скрыт [показать]
     
  • 3.68, Аноним, 13:11, 11/02/2017 [^] [ответить] [смотреть все]  
  • +/
    А где реклама альта с заверением что там всё (не) хорошо?
     
     
  • 4.70, Michael Shigorin, 13:30, 11/02/2017 [^] [ответить] [смотреть все]  
  • +/
    А мы не даём на опеннете рекламу по крайней мере до сих пор так было Вчера су... весь текст скрыт [показать]
     
     
  • 5.71, Аноним, 16:47, 11/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ХА Не на сизифе просто опасно Впрочем, ничего нового интересно, как обновлени... весь текст скрыт [показать]
     
     
  • 6.72, Michael Shigorin, 16:52, 11/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Побезопасней, чем на многих стабильных дистрибутивах, межпрочим Да, конечно -... весь текст скрыт [показать]
     
     
  • 7.76, Аноним, 18:43, 11/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Только вот преимуществ перед федорой или арчем не видно Неужели без systemd так... весь текст скрыт [показать]
     
     
  • 8.77, Michael Shigorin, 18:50, 11/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Конкретно в сравнении с этими полигонами у сизифа есть как недостатки у арчика ... весь текст скрыт [показать]
     
  • 1.18, Аноним, 12:16, 10/02/2017 [ответить] [смотреть все]  
  • +1 +/
    комбайнёры, лингам им в чакру... весь текст скрыт [показать]
     
     
  • 2.29, testt, 14:03, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Что-то не вижу у gimp и geany зависимости от webkitgtk.
     
  • 2.41, Аноним84701, 16:10, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да ладно, как будто не знаете, как такие вещи считается Используется в плагин... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, Аноним, 12:38, 10/02/2017 [ответить] [смотреть все]  
  • –3 +/
    Да никого это не волнует Чем больше будет зависеть от гугла, тем больше будет т... весь текст скрыт [показать]
     
  • 1.33, Аноним, 15:00, 10/02/2017 [ответить] [смотреть все]  
  • +/
    Зато в Debian, Ubuntu и всяких RHEL CentOS все баги стабильны и хорошо задокумен... весь текст скрыт [показать]
     
     
  • 2.36, Shichael Migorin, 15:20, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Зато если спустя год после установки дистрибутива мне понадобится установить как... весь текст скрыт [показать] [показать ветку]
     
  • 1.42, Аноним, 16:23, 10/02/2017 [ответить] [смотреть все]  
  • –1 +/
    Эээ так плачевная или доступен свежий выпуск ... весь текст скрыт [показать]
     
     
  • 2.47, коньяк, 16:32, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    доступен так же думаю
     
  • 1.52, freehck, 17:26, 10/02/2017 [ответить] [смотреть все]  
  • +/
    Переводчик! Тебе, конечно, решать, что переводить, а что нет. Но вот это бы перевести и вставить в текст абзаца о Debian, было бы неплохо "Note that a secure version of WebKitGTK+ is available for those in the know via the backports repository".

    В Debian так и задумано. Debian does not update WebKit as a matter of policy.

     
     
  • 2.54, Michael Shigorin, 17:44, 10/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK 2 14 3 Н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, freehck, 17:52, 10/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Хм Может быть и правда я проглядел Странное дело ... весь текст скрыт [показать]
     
  • 1.53, Вася, 17:40, 10/02/2017 [ответить] [смотреть все]  
  • +/
    > В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные язвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3.

    и что тут плачевного? я еще понимаю если б свежая версия была только в sid/unstable. плачевный исследователь, короче.

     
     
  • 2.67, АнонимХ, 13:01, 11/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Немного не понятно, мне что, нужно весь софт ставить из бекпортов, что бы в нем ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, Аноним, 17:51, 11/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    У них своя логика, да и не важно, с ролью поставки пакетной базы в убунты справл... весь текст скрыт [показать]
     
  • 1.80, Вареник, 06:28, 12/02/2017 [ответить] [смотреть все]  
  • +1 +/
    Вебморды у десктопных программ - зло.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor