Ну так и натравил кто-то походу судя по соседней новости с дырой в execve прямо ажно. При том дыра в execve - это покруче чем факап в модуле нужном полутора энтерпрайзникам который у большинства систем вообще не вгружен - или - вот - возможности файлик стырить.

А вот беспарольный sudo прям в execve - это фундаментальненько так, кондово. Сразу чувствуется академичный подход. И live patch оно ж не умеет - так что фикс точно приведет к ребутам, потере аптайма и вообще как вы теперь будете годами аптайма козырять? Нуб с убунтой вам теперь мастеркласс на тему даст. С _патченым_ ядром и годом аптайма.

Да они и в кернеле совсем даже и не спасуют - https://www.opennet.me/opennews/art.shtml?num=52418 - не только облажались с правами страниц памяти (всего-то, ха!) так что виртуалка могла кернелмод патчить (виртуализация с уровнем безопасности MSDOS, вау!) - так еще после того как нетбсдшник их носом ткнул - они правильно починить с 1 раза не смогли. И нетчик ткнул их и по второму разу, с менее лояльными коментами про security circus уже.

А так то да, непогрешимые ребята. Но недельку неуловимый джо все ж отлеживался в кустах после получения люлей от чувака который не знал про неуловимость.

ну потому что это действительно дурная идея - у тебя может вообще система в изолированной сети и тебя ЭТОТ rce не колышет, а тебе прилетит апдейт молча бампнутой версии - которая тебе что-то поломает, современные разработчики по другому и не умеют давно.

поэтому и нужны нероллинг дистры, поэтому мы и возимся с бэкпортами.

Но там, насколько я помню, бэкпорт тоже делать оказалось некому, живите с rce.

с dkms это им успешно удалось. И ничего.

А еще есть такой интересный репо - proposed. Как думаешь, есть там апдейт?

И да, гений маркетинга из будущего - а зачем бы у тебя модные современные livepatch апдейты имеют тот же релизный цикл что и нормальные? Если ты так боишься-боишься все попереломать (а не того чего надо бояться - что половине глобуса сейчас троянов-то нальют и сразу рутовых).

А у нормальных время сборки - несколько минут. Да и те где-то на билдферме. И весь древний зоопарк параллельно. (впрочем, при критичных проблемах логично первым делом попатчить то что патчится легко, и выкатить хотя бы такой апдейт, а не пытаться успеть все и сразу. Впрочем, nginx'овод-то вон успел. С 22 по 26 со всеми остановками - при том что там разумеется тоже разные версии в каждой из них.)

Просто над ними не капает - их-то макбуки в безопастности, понимать надоть!

Не знаю, у них хотя бы это общий код с раздельными ветками и автоматическим отслеживанием мержей, или как обычно. Но больше почему-то верится во второе.

Ну зато без дела никто не сидит. А космонафт потом ныл что бабло кончается.

Большинство кернельных патчей совершенно тривиальны же ж. Включая тот однострочный из нулевых годов, когда ВСЯ индус-трия месяц ждала выхода из запоя редхатовского индуса.

Просто потому что страшна очинь страшна, и ни почему другому. Копчоные кумары вообще не любят брать на себя ответственность.

И чром именно так и делает. Не делают ли того же самого куски чрома, вот в чем был вопрос.

Кстати говоря bwrap считается безопасной заменой «user namespaces» и его используют Valve и Red Hat.