>>>> то есть заявить на половину вселенной «у нас дырка, налетай, брутфорсь!»
>>> Коммит в CVS - не заявление. Заявление - это как раз выпуск DSA.
>> Есть люди, которые зарабатывают на хлеб с икрой эксплуатацией дырок. И они просматривают коммиты в популярные сервисы. Для них этот коммит — транспарант 3×4м с надписью «дырка здесь, эксплуатировать вот так».
> И что, теперь из-за каких-то редисок не использовать публичные CVS для работы? почему, использовать. только выкладывать исправления критических багов одновременно с релизом исправлений.
>>>> и ЧЕРЕЗ НЕДЕЛЮ выпустить обновление
>>> Вообще-то - это только свиду простое изменение. Вам из детского сада это может быть неочевидным, но для мейнтейнеров пакета - может потребоваться какое-то время, чтобы выяснить что проблема действительно исправлена.
>> Не могу не согласиться — когда курт комментил эту злосчастную строку, он определённо не понимал, *что* делает. И не уверен, что он понимал, что делает даже когда коммитил фикс. Ну и да, не могут же все maintainerы пакетов быть квалифицированными специалистами.
> Дальше - больше. Оказывается, смысл "этой строчки" не понимали и "квалифицированные" разработчики openssl, давшие "неквалифицированному" мейнтейнеру добро на ее комментирование.
пруф?
>>> PS: В общем, не удалось из носу выковырять "замалчивание" уязвимости мейнтейнером (ага, слабо "втихую" пропихнуть обновление в стабильный дистрибутив) - теперь жалуемся на медленность выхода обновлений?
>> У белых людей принято не выкладывать full disclosure в интернеты до выхода фикса.
> Так никто и не выкладывал. Это вы сейчас знаете, что "фикс" заключался в одной строчке. Знаете потому, что "неквалифицированный мейнтейнер" исследовал проблему и Security Team опубликовал отчет об устраненной уязвимости.
Допустим, я знаю из DSA. Но black hats DSA не нужны — они прекрасно ориентируются в исходниках Openssh без помощи Security Team.