Оценка безопасности WebKit в дистрибутивах Linux

10.02.2017 10:29

Майкл Катандзаро (Michael Catanzaro), один из разработчиков web-браузера Epiphany (GNOME Web), опубликовал отчёт об актуальности пакетов с браузерным движком WebKit в дистрибутивах Linux. Майкл попытался оценить изменение ситуации спустя год, после поднятия темы о поставке в большинстве дистрибутивов устаревших версий портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащих неисправленные опасные уязвимости.

В целом отмечается значительное улучшение ситуации с безопасностью пакетов с портами WebKit. Наибольшим достижением можно считать налаживание процесса обновления WebKitGTK+ в Ubuntu. Актуальный выпуск WebKitGTK+ 2.14.3, в котором было устранено 13 уязвимостей, доставлен пользователям Ubuntu 16.04/16.10, Fedora 24/25 и Arch Linux.

В прошлых LTS-ветках Ubuntu 14.04 и 12.04, а также в Red Hat Enterprise Linux, Oracle Linux и SUSE сохраняются пакеты со старой версией WebKit 1, так как замена на WebKit2 невозможна из-за изменения API, а WebKitGTK+ на базе WebKit1 уже не поддерживается. Замена WebKit 1 на WebKit 2 невозможна, так как приведёт к нарушению совместимости c зависимостями, а бэкпортирование исправлений в устаревшую ветку выглядит излишне трудоёмким процессом. WebKitGTK+ используется в таких приложениях, как Midori, Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Sushi и Yelp (GNOME Help).

В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные уязвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3. В штатной поставке устаревшая версия WebKitGTK+ 2.6.2 остаётся по формальным причинам, в том числе в ней остаются неисправленными некоторые серьёзные проблемы со стабильностью. Актуальный выпуск WebKitGTK+ 2 также доступен в ветках unstable и testing, но после заморозки testing, следующее обновление появится только в unstable.

Похожая ситуация в openSUSE: в репозитории Tumbleweed можно найти свежий выпуск WebKitGTK+, но в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости. К тому же, подготовке обновлений для openSUSE Leap 42.2 мешает то, что выпуск основан на пакетной базе SUSE Linux Enterprise с GCC 4.8, в то время как для сборки новых версий WebKit требуется как минимум GCC 4.9.

В Gentoo свежий выпуск WebKitGTK+ можно найти только в ветке "testing", а в стабильном репозитории предлагается выпуск 2.12.5, в котором имеется 42 уязвимости. Дистрибутив Mageia пытался выпускать обновления для Mageia 5, но не ушёл дальше выпуска WebKitGTK+ 2.12.4.

Дополнение: следом опубликован релиз WebKitGTK+ 2.14.4, в котором устранено 13 уязвимостей и включена возможность использования OpenGL для ускорения отрисовки.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46016-webkit

Ключевые слова: webkit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (60)

1.1, Анон007 (?), 10:47, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
Да-да, увлекайтесь дальше вашим Eletron.atom.io. У-ха-ха-ха!

2.2, Анон007 (?), 10:48, 10/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Electron.atom.io

2.4, Аноним (-), 10:57, 10/02/2017 [^] [^^] [^^^] [ответить]	+10 +/–
В Electron не WebKit, а libchromiumcontent c Blink и V8, который обновляется синхронно с Chromium.

3.20, Аноним (-), 12:24, 10/02/2017 [^] [^^] [^^^] [ответить]	+18 +/–
Ну тогда продолжайте писать чаты и блокноты поверх браузера.

1.3, Аноним (-), 10:51, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]

+4 +/–

> К тому же выпуску обновлений для openSUSE мешает то, что выпуск основан на пакетной базе SUSE Linux Enterprise с GCC 4.8, в то время как для сборки новых версий WebKit требуется как минимум GCC 4.9.

Проблему изящно решили в RHEL5. Firefox 38 хочет GCC 4.7, 45 хочет GCC 4.8, в репозитории GCC 4.1 и 4.4. Ну они положили SRPM с новым GCC прямо внутрь SRPM с новым Firefox! А также Python 2.7 и Yasm. После сборки получается Firefox, который прекрасно работает со старым Libc и C++ Runtime.

Сусеводы, берите пример с редхатовцев!

2.8, Andrey Mitrofanov (?), 11:17, 10/02/2017 [^] [^^] [^^^] [ответить]

–1 +/–

> Проблему изящно решили в RHEL5. Firefox 38 хочет GCC 4.7, 45 хочет
> GCC 4.8, в репозитории GCC 4.1 и 4.4. Ну они положили

ff-52 (или -49?), вроде как, "хочет" gcc-4.8, а тек.ESR 45,[234567] Debian-овцы с "обычным" gcc-4.7 собирают. --Wheezy LTS.

> Сусеводы, берите пример с редхатовцев!

Они же не собирают его из вложенных _исходников_, то есть кладут бинарник в исходники?? Анафема!! Столмана на них нет... --Ну, хоть бизнесы довольны.

Учитесь у Debian-овцев (стянувших пакет из убунту)!
https://packages.debian.org/src%3Фgcc-mozilla (гм, "security", да....)
https://lists.debian.org/debian-lts/2016/10/msg00004.html

2.13, vitvegl (?), 11:58, 10/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
"впихнуть" можно куда угодно, и source rpm не исключение) Конечно, это костыль, без которого никак. Ну можна еще триггер написать на стягивание всего необходимого с сети

3.26, Аноним (-), 13:32, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
Им повезло что Firefox не требует ничего из этого в системе. Например Python используется только для сборки. Потребуй мозилловцы его в системе, и обязательно не старее такого-то - не знаю как бы они выполняли гарантию штабильности своего LTS-дистрибутива перед корпоративными клиентами!

4.83, mickvav (?), 14:30, 13/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
А мозилле нужно под виндами работать. Там ей всё своё - только с собой переть, иначе никак.

4.84, aim (ok), 10:31, 21/02/2017 [^] [^^] [^^^] [ответить]	+/–
да в докер бы запихали браузер

2.15, Аноним (-), 12:09, 10/02/2017 [^] [^^] [^^^] [ответить]	+3 +/–
> изящно решили > положили в пакет костыль > а вот тут сделали ещё один костыль > ??? > PROFIT Изящество REHL!

2.38, Аноним (-), 15:30, 10/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> Проблему изящно решили в RHEL5. Firefox 38 хочет GCC 4.7, 45 хочет > GCC 4.8, в репозитории GCC 4.1 и 4.4. Не верю. Нету тут http://www.freshports.org/www/firefox-esr/ http://www.freshports.org/www/firefox/ никаких gcc в зависимостях.

3.46, Аноним (-), 16:29, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
http://vault.centos.org/5.11/updates/SRPMS/firefox-45.7.0-1.el5.centos.src.rp

2.63, Аноним (-), 22:13, 10/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
А в чём проблема? Я просто с NixOS.

1.6, Аноним (-), 11:13, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Забавно смотреть как купертино взяли кхтмл и запилили себе арбузер хоть как-то работающий, а сообщество в состоянии только вести учёт ошибок. Единственный достойный на вэбките из браузеров был uzbl за всё время и тот забросили. Это печально

2.12, Аноним (-), 11:58, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
Konqueror тоже на KHTML, тоже работающий даже чуть лучше, чем хоть как-то.

2.64, Led (ok), 00:04, 11/02/2017 [^] [^^] [^^^] [ответить]	+/–
> Забавно смотреть как купертино взяли кхтмл и запилили себе арбузер Не себе, а тебе. И не арбузер, а зонд.

1.7, grsec (ok), 11:15, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Дебиан стабилен, да)

2.19, ryoken (ok), 12:16, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
> Дебиан стабилен, да) Все на SID\Experimental! Ура, товарищи! :D

2.21, Аноним (-), 12:37, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
Ну так backports если он нужен, на сервере не очень понимаю зачем он нужен.

1.10, eRIC (ok), 11:35, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>Ситуация с безопасностью QtWebKit оставляет желать лучшего, так как кодовая база движка на >годы отстаёт от основного WebKit, а исправления бэкпортируются выборочно и не регулярно Один вопрос: зачем тогда этот QtWebKit такой дырявый нужен? Может основной WebKit использовать. Так же разделить на модульность приложение, чтобы версии WebKit'ту было меньше привязки

2.27, имя (?), 13:35, 10/02/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Его забросили в пользу построенного на Blink и менее удобного в использовании QtWebEngine.

2.35, Аноним (-), 15:11, 10/02/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Есть свежий, не дырявый QtWebKit (https://github.com/annulen/webkit/wiki), но неясно, включат ли его в Qt

3.37, nib (?), 15:29, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
включат, точнее уже

1.17, Sluggard (ok), 12:15, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости Мда, стабильненько... В Leap 42.1 вообще 2.10.7 ещё.

2.24, Michael Shigorin (ok), 13:18, 10/02/2017 [^] [^^] [^^^] [ответить]	–2 +/–
> В Leap 42.1 вообще 2.10.7 ещё. Ну Вы поняли. :)

3.25, Sluggard (ok), 13:25, 10/02/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> Ну Вы поняли. :) Что поняли? Что openSUSE в тексте новости упоминается, или что в оригинале по ссылке есть про Leap 42.1, с такой вот древней версией? Ну да, поняли, конечно. Ещё какие-то комментарии? )

4.30, Anonimus (??), 14:22, 10/02/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Просто Михаилу стало обидно, что его альт в новостях упоминается только как место, покинутое разработчиками.

5.31, Аноним (-), 14:32, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
Кем упоминается?

5.32, Sluggard (ok), 14:42, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
Не говорите глупостей.

5.51, Michael Shigorin (ok), 17:17, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
А давайте Вы не будете высказываться за других, когда они Вам такого права не да... большой текст свёрнут, показать

6.65, Anonimus (??), 04:07, 11/02/2017 [^] [^^] [^^^] [ответить]	+/–
В реальности есть такая новость: https://www.linux.org.ru/tag/altlinux?section=2 там белым по черному написано про исход. Идите туда, Михаил спорить. P.s. мухи, они как извнстно слетаются на определенные субстанции. P.p.s. Делайте продукт, а не то, на что только мухи садятся.

7.69, Michael Shigorin (ok), 13:21, 11/02/2017 [^] [^^] [^^^] [ответить]

+/–

> В реальности есть такая новость: https://www.linux.org.ru/tag/altlinux?section=2 там
> белым по черному написано про исход. Идите туда, Михаил спорить.
> P.s. мухи, они как извнстно слетаются на определенные субстанции.

Вот и слетайтесь на LOR, здесь-то что забыли? :) (и нет, не пойду)

PS: автор удалённого #66 в теме про android-x86 нагадил в адрес savannah.gnu.org так: "Спасибо - религиозные фанатики на работе не нужны, наоборот - повод их уволить, дабы в ответственный момент религия не мешала работать" -- делайте выводы, братцы, кому альт жить мешает, равно как и умодерирование их тупой пропаганды виндов.

8.78, Anonimus (??), 19:44, 11/02/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Не ваш личный бложек, Михаил, следите за руками Я не в курсе ваших религиозных ... текст свёрнут, показать

9.79, Michael Shigorin (ok), 21:17, 11/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
По существу-то что сказать хотели ... текст свёрнут, показать

10.81, Anonimus (??), 08:23, 12/02/2017 [^] [^^] [^^^] [ответить]	+/–
То, что мы не поняли, только и всего ... текст свёрнут, показать

6.82, Анонымоус (?), 11:49, 12/02/2017 [^] [^^] [^^^] [ответить]	+/–
> И да, мы набираем людей. Можно поподробнее?

7.85, Michael Shigorin (ok), 15:20, 21/02/2017 [^] [^^] [^^^] [ответить]	+/–
>> И да, мы набираем людей. > Можно поподробнее? https://lists.altlinux.org/pipermail/devel/2016-May/201429.html (актуально)

8.86, Michael Shigorin (ok), 21:38, 26/02/2017 [^] [^^] [^^^] [ответить]	+/–
Вот ещё подробнее https lists altlinux org pipermail devel 2017-February 2023... текст свёрнут, показать

3.68, Аноним (-), 13:11, 11/02/2017 [^] [^^] [^^^] [ответить]	+/–
А где реклама альта с заверением что там всё (не) хорошо?

4.70, Michael Shigorin (ok), 13:30, 11/02/2017 [^] [^^] [^^^] [ответить]

+/–

> А где реклама альта

А мы не даём на опеннете рекламу (по крайней мере до сих пор так было).

> с заверением что там всё (не) хорошо?

Вчера сунулся было на http://packages.altlinux.org/libwebkitgtk4 и выяснил, что после перезагрузки серверов с новым ядром оно само не поднялось -- пришлось предпринять очередной подход к освоению подъёма рельсовой софтинки автономно от разработчика (он-то чаще деплоит, чем именно запускает), на этот раз успешно, но в процессе времени на трёп уже не осталось.

5.71, Аноним (-), 16:47, 11/02/2017 [^] [^^] [^^^] [ответить]

+1 +/–

>Sisyphus: 2.14.4-alt1
>p8: 2.12.5-alt1

ХА! Не на сизифе просто опасно. Впрочем, ничего нового.
>что после перезагрузки серверов с новым ядром оно само не поднялось -- пришлось предпринять очередной подход к освоению подъёма рельсовой софтинки автономно от разработчика

интересно, как обновление ядра влияет на прикладной софт? А так продакшин такой продакшин.
>А мы не даём на опеннете рекламу (по крайней мере до сих пор так было).

Зато в теме про уязвимость баша кто-то из ваших успел отметится.

6.72, Michael Shigorin (ok), 16:52, 11/02/2017 [^] [^^] [^^^] [ответить]

+/–

>>Sisyphus: 2.14.4-alt1
>>p8: 2.12.5-alt1
> ХА! Не на сизифе просто опасно.

Побезопасней, чем на многих "стабильных" дистрибутивах, межпрочим.

> Впрочем, ничего нового.

Да, конечно -- отправил бэкпорт: http://webery.altlinux.org/task/178033 (но не факт, что с первой попытки доберётся).

> интересно, как обновление ядра влияет на прикладной софт?
> А так продакшин такой продакшин.

А там автозапуска нет. Ровно об этом вчера и говорили с Игорем.

>> А мы не даём на опеннете рекламу (по крайней мере до сих пор так было).
> Зато в теме про уязвимость баша кто-то из ваших успел отметится.

Как минимум я и отметился. :) Боюсь только, Максиму с того никакой прибыли...

7.76, Аноним (-), 18:43, 11/02/2017 [^] [^^] [^^^] [ответить]

+/–

>Побезопасней, чем на многих "стабильных" дистрибутивах, межпрочим.

Только вот преимуществ перед федорой или арчем не видно.
>А там автозапуска нет

Неужели без systemd так тяжело создать скрипт что будет запускать прогу?

8.77, Michael Shigorin (ok), 18:50, 11/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Конкретно в сравнении с этими полигонами у сизифа есть как недостатки у арчика ... текст свёрнут, показать

1.18, Аноним (-), 12:16, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>WebKitGTK+ используется в таких приложениях, как >Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Geany, GIMP, gitg, GNOME Builder, GnuCash, gThumb комбайнёры, лингам им в чакру

2.29, testt (ok), 14:03, 10/02/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Что-то не вижу у gimp и geany зависимости от webkitgtk.

2.41, Аноним84701 (ok), 16:10, 10/02/2017 [^] [^^] [^^^] [ответить]

+/–

>>WebKitGTK+ используется в таких приложениях, как
>>Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Geany, GIMP, gitg, GNOME Builder, GnuCash, gThumb
> комбайнёры, лингам им в чакру

Да ладно, как будто не знаете, как такие вещи считается ;)

> Geany

Используется в плагинах типа markdown/webhelper/devhelper.

> GIMP

опять же плагин
собираем с "--without-webkit".
>  --without-webkit.  If for some reason you don't want to build the
>     Help Browser plug-in, you can use --without-webkit to disable
>     it explicitly.

> gitg

дропнули:
> = gitg 3.19.1 =
> Version 3.19.1 was released on 2015-12-21
> == Changes ==
>- Rework diff view to use GtkSourceView instead of Webkit

.
> Rhythmbox

вроде как опциональная зависимость для подкаст-плагина и вроде как даже убрали:
https://git.gnome.org/browse/rhythmbox/commit/?id=4c951c864807843a448884d75490

1.22, Аноним (-), 12:38, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Да никого это не волнует. Чем больше будет зависеть от гугла, тем больше будет таких вот "опозданий". Ах да, вебкит-то вот-вот и рип, будущее за блинком.

1.33, Аноним (-), 15:00, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Зато в Debian, Ubuntu и всяких RHEL/CentOS все баги стабильны и хорошо задокументированы, не то что в этих ваших Archlinux.

2.36, Shichael Migorin (?), 15:20, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
Зато если спустя год после установки дистрибутива мне понадобится установить какое-нибудь ПО, мне не придется обновлять пол системы на новые мажорные версии, которые скорее всего будут вести сбя непредсказуемо. В дебиан прикол не в том, что он весь из себя стабильный, а в неизмености пакетов (максимально возможной), благодаря чему в нем можно работать после изучения существующих багов и не бояться , чтобы скомпилированые тобой программы отвалятся после обновления зависимостей. Но с другой стороны можно например выкачать весь репозиторий арча и подрубить его локально. Будет примерно как с дебиан стейбл, только исправления безопасностей (какие-никакие) приходить не будут, но зато шустрый божественный пакман вместо душного дипэкэйджа

1.42, Аноним (-), 16:23, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> В Debian ситуация плачевная ... в бэкпортах для установки доступен свежий выпуск Эээ так плачевная или доступен свежий выпуск?

2.47, коньяк (?), 16:32, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
доступен так же думаю

1.52, freehck (ok), 17:26, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Переводчик! Тебе, конечно, решать, что переводить, а что нет. Но вот это бы перевести и вставить в текст абзаца о Debian, было бы неплохо "Note that a secure version of WebKitGTK+ is available for those in the know via the backports repository". В Debian так и задумано. Debian does not update WebKit as a matter of policy.

2.54, Michael Shigorin (ok), 17:44, 10/02/2017 [^] [^^] [^^^] [ответить]

+/–

> "Note that a secure version of WebKitGTK+ is available for
> those in the know via the backports repository".

"При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3".

Не знаю, добавил ли кто -- я это предложение видел, когда читал новость задолго до Вашего комментария.

3.55, freehck (ok), 17:52, 10/02/2017 [^] [^^] [^^^] [ответить]	+/–
> Не знаю, добавил ли кто -- я это предложение видел, когда читал новость задолго до Вашего комментария. Хм. Может быть и правда я проглядел. Странное дело.

1.53, Вася (??), 17:40, 10/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные язвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3. и что тут плачевного? я еще понимаю если б свежая версия была только в sid/unstable. плачевный исследователь, короче.

2.67, АнонимХ (ok), 13:01, 11/02/2017 [^] [^^] [^^^] [ответить]	+/–
Немного не понятно, мне что, нужно весь софт ставить из бекпортов, что бы в нем были исправлены уязвимости? Может тогда бекпорты надо переименовать в main, а устаревший мейн выкинуть?

3.75, Аноним (-), 17:51, 11/02/2017 [^] [^^] [^^^] [ответить]	–1 +/–
У них своя логика, да и не важно, с ролью поставки пакетной базы в убунты справляются отлично. Остальное не важно.

1.80, Вареник (?), 06:28, 12/02/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вебморды у десктопных программ - зло.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: