В пакетном менеджере APT выявлена (https://mirror.fail/) уязвимость (https://bugs.launchpad.net/ubuntu/%2Bsource/apt/%2...) (CVE-2018-0501 (https://security-tracker.debian.org/tracker/CVE-2018-0501)) в реализации метода "mirror://", позволяющая обойти проверку пакета по цифровой подписи. При использования конфигурации с зеркалами (протокол mirror:// в sources.list) атакующий, контролирующий трафик (MiTM), может спровоцировать ситуацию в которой проверка подписи файла InRelease производится некорректно, что может использоваться для подмены содержимого пакетов. Проблема проявляется в ветках 1.6.x и 1.7.x и устранена в выпусках 1.6.3ubuntu0.1, 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-0501) и Ubuntu (https://usn.ubuntu.com/3746-1/).URL: https://mirror.fail/
Новость: https://www.opennet.dev/opennews/art.shtml?num=49168
sudo grep -Hir "mirror" /etc/apt
это поможет?
вроде пусто
> протокол mirror:// в sources.listА как этим пользоваться? В первый раз о нём слышу.
вот-вот, я тоже ни разу этим функционалом не пользовался %/
На ваше счастье дефолтную конфигурацию не пробирает, только тех немногих кто почитал описание и настроил.
Читать доки - вредно!
Главный вопрос; а каким скриптиком / батником /экзэшником проверить теперь свои /usr/bin/*, на соответствие цифровым подписям в репозитории? Так, на всякий случай...
Debsums? Не совсем подписи, но все же. Однако проверять что либо на системе которую могли расхакать - занятие кривое. Что-то такое надо делать из доверяемой системы.Тем не менее, конфигурация с mirror:// - достаточно экзотичная штука, по умолчанию оно не используется.
Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей,
DESCRIPTION
Verify installed Debian package files against MD5 checksum lists from
/var/lib/dpkg/info/*.md5sums.
А мне бы сравнить с репозиторием...
Кстати, почему http://, почему не https:// у apt-get?
Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях APT, использовать SSL/TLS - дикий перегиб.
> Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях
> APT, использовать SSL/TLS - дикий перегиб.это пока к вам не придут с распечаткой что вы с того сервера качали nmap и прочие уголовно наказуемые хакерские штучки
Ну тогда вообще apt-transport-tor поставить - атакующие даже не поймут что это дебиан был, а не федора какая-нибудь например. Пусть ломают наобум как нечто неизвестное.
В Fedora тоже можно настроить связку dnf с tor.
У дебиана есть официальный onion с пакетами, если что. Установив apt-transport-tor и заменив в sources.list адреса и протокол репов на tor, можно оставить атакующих изучающих что и как с носом. Врядли федора настолько же продвинута и дружелюбна к пользователям, это всего лишь тестовый полигон редхата. Чем-то таким сообщество и корпорасы и отличаются. Сообщество печется не только о корпоративных интересах.
Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?
> Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?сервера не обязаны находиться в той же стране (даже если эта страна за великим фаерволом)
а ещё степень вины определяет суд, как известно - самый справедливый суд в мире (пиратбей не даст соврать)
> Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей,Вы и подписи будете на локальном компьютере проверять, относительно локального хранилища ключей небось? И в чем разница? Если хочется не того - в любом случае придется как-то хитро повозиться, сформировав потребное окружение в чистой неуязвимой оси, в которой перегрузить все данные с перепроверкой.
> Кстати, почему http://, почему не https:// у apt-get?
Есть apt-transport-https - можно поставить его и пользуйтесь https'ом. А так - проверка подписей и без https работает, то что https и его либы менее дырявы - не факт. Так что оно имеет смысл лишь при каких-то специальных соображениях.
Есть даже apt-transport-tor - так атакующие вообще не будут знать что и куда. Это усложнит им идентификацию типа системы, атаковать хост будет сложнее.
debootstrap+rsync/md5sum
А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.
>А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.Обалденный совет, как раз заслуживает дислайка.
Совет многолетнего мамкиного распидяя.
> А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что
> бы быть в курсе что поменялось.Можно и иные варианты придумать, достаточно неожиданные и неудобные для хакеров. Например слать дельту btrfs send'ом на отдельную машину и там изучать себе файлуху. Можно налепить снапшотиков с версиями и сравнивать их между собой чем там кому удобно. При том на ремотной машине, на которой софт крутится заведомо не хакерский.
А креативно запатчить именно данные в именно файлухе, чтобы лабеан вышел даже с btrfs send и ремотной ФС, зеркалящей местную но не использующую систему оттуда - теоретически так наверное можно а практически хакер загнется такого монстра кодить и почти наверняка срежется на corner cases.
Буква S в слове Linux означает Security.
Нет, она означает Reißschiene.
>ReißschieneПросто мимо проходил - что это за слово? Сколько учу, пока не встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то муть.
Гуглить не пробовал?https://ru.m.wikipedia.org/wiki/Рейсшина
>Гуглить не пробовал?Это не по-спортивному.
Благодарю :3
>>Reißschiene
> Просто мимо проходил - что это за слово? Сколько учу, пока не
> встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то
> муть.Не, ну по составным разбить можно:
Reiß - составное: срывать, вырывать, выдергивать, раздирать
Schiene - рельс, лубок, шина (электр), направляющая (планка)
но догадаться о том, что это такая чертежная линейку, будет сложно ))
Из того, что есть на рынке - самое секьюрное. Абсолютная безопасность - миф, вера в который делает ситуацию еще хуже. Не советую.
Если нужна секурность используют флатпаки. В apt разработчики дистрибутива или кто их взломал могут подсунуть малварь и нужны права рута для установки.
Ну засунь во flatpak postgresql, exim/postfix, docker/kvm. После этого нам об успехе расскажи)Ты хоть почитай Алекса (разработчик flatpak) для чего он его разработал, какова его сфера применения.
может кому ещё интересно будет https://flatpak.org/faq/Is Flatpak a container technology?
It can be, but it doesn’t have to be. Since a desktop application would require quite extensive changes in order to be usable when run inside a container you will likely see Flatpak mostly deployed as a convenient library bundling technology early on, with the sandboxing or containerization being phased in over time for most applications. In general though we try to avoid using the term container when speaking about Flatpak as it tends to cause comparisons with Docker and rkt, comparisons which quickly stop making technical sense due to the very different problem spaces these technologies try to address. And thus we prefer using the term sandboxing.
Can Flatpak be used on servers too?Flatpak is designed to run inside a desktop session and relies on certain session services, such as a D-Bus session bus and, optionally, a systemd --user instance. This makes Flatpak not a good match for a server.
However, the build features of Flatpak run fine outside a session, so you can build things on a server.
Я об этом и говорю, что flatpak не панацея от вирусов, так как есть вероятность поймать заразу при установке софта, которая может сидеть где угодно (ядро, сетевые службы и т.д.).Мысль пользователя Скат, а именно заменить apt на flatpak для обеспечения безопасности бесперспективна, так как последний не покрывает все приложения.
> Мысль пользователя Скат, а именно заменить apt на flatpak для обеспечения безопасности
> бесперспективна, так как последний не покрывает все приложения.Более того она вредна, поскольку заменяет майнтайнеров с конкретными политиками безопасности на раздолбай-разработчиков приложений которые припрут сотни версий либ которые никто не майнтайнит, но в которых постепенно найдутся дыры. По уровню безопасности - станет как в маздае. Потому что система набита непатчеными либами под завязку и хакерью остается только долбануть это эксплойтом.
В твоей логике есть проблема. Все дело в том, что мейнтеры понятия не имеют, как работает код пакетов, и максимум что они могут сделать - добавить дыр и косяков в собранный пакет или забекпортить уже сделанный разрабами фикс. В лучшем случае мейнтер читает документацию и импортит пакет в более-менее первозданном виде, постоянно обновляя его. Вот только большинство пакетов уже давно заброшены, и уязвимы против того же spectre.
Удачи в твоих грезах)
Связанных с процессором уязвимости решаются патчами ядра и обновлением микрокода, но не отдельных программ типа libreoffice, gimp и т.д.Что касается сопровождающих пакетов, то отчасти я соглашусь с тобой. Разработчик программы лучше знает свой код чем сопровождающих пакета. Зачастую разработчик не хочет разбираться в 100500 разных дистрибутивах/архитектур вот тут и приходит ему на помощь сопровождающий/мейнтрейнер, который берет на себя обязанность адаптировать программу для работы на нужном дистрибутиве/архитектуре.
Чтобы убрать звено в виде мейнтрейнер из последовательности "разработчик программы - дистрибутив", нужно разработать общий формат пакетов для всех дистрибутивов, дистрибутивы должны чётко соблюдали стандарты по файловой системе и т.д. Решения по стандартам должны приниматься коллективно, всеми основными разработчиками дистрибутивов, но этого никогда не произойдёт. Взгляните любые стандарты в мире линя и вы увидите явный перегиб в сторону стандартов, которые проталкивает одна компания (ну мы то знаем какая), которая, кстати, сама в ближайший год собирается эти стандарты нарушить (привет silverblue, fhs, lsb с его rpm).
В дополнение по поводу безопасности flatpak. Аудит никто не проводил, поэтому говорить о его безопасности не приходится. Посмотрите на Docker, который трясут и так и этак, с его безопасностью не все гладко, да и выход за приделы виртуальных машин из-за уязвимостей никто не отменял.
Есть как минимум ряд уязвимостей, который решается обновлением компилятора, включением флага и пересборкой.
Было бы, конечно, здорово, если бы комьюнити смогло объединится для поддержки одного адекватно работающего дистрибутива (потому что единые стандарты по факту убивают смысл пилить разные дистры), вместо сотни тех, в которых работоспособность фичи/пакета/де зависит исключительно от того, насколько тебе повезло с релизом (хотя вот гном крив и убог стабильно последние года 3). Может быть тогда бы и флетпаки со снапами не понадобились, ибо пушилось бы все в стандартные репы, рук бы хватало. Но увы.
На тему флетпаков не согласен. Большинство этих пакетов так же были собраны мейнтерами, некоторые из них пересобирались из официальных deb-ов. Так что эквивалентно.
> Есть как минимум ряд уязвимостей, который решается обновлением компилятора, включением
> флага и пересборкой.Однако если резко пересобрать всю систему от и до - есть вероятность, что в компилере окажется например новый баг. И что-то после этого все-таки сдохнет/отвалится/сглючит. Поэтому у дебиана есть некие политики. Временами они работают хорошо, временами так себе. Но они есть, народ использующий дебиан ожидает именно это и их устраивает. Им заведомо работающий продакшн может быть важнее фикса трудно эксплуатируемой уязвимости котрая в их конфигурации может и не представлять проблемы как таковая, например.
> Было бы, конечно, здорово, если бы комьюнити смогло объединится для поддержки одного
> адекватно работающего дистрибутива (потому что единые стандарты по факту убивают смысл
> пилить разные дистры),А еще можно всех в концлагерь загнать, втулить единый распорядок дня, одинаковую униформу, все дела. Только нафиг надо. Кто хотел именно это - валит в десятку, там и виндостор есть, и кейлоггер, и подписи дров и DRM "для вашей безопасности". В общем прототип цифрового лагеря с надзирателями неплохо прорисовывается.
> и флетпаки со снапами не понадобились, ибо пушилось бы все в
> стандартные репы, рук бы хватало. Но увы.Знаешь, с такой логикой лучше пользоваться десяткой с виндостором. А мне твои единые политики на все случаи жизни не сильно упали, потому что случаи разные бывают. И мысль о том что единый стандарт будет формироваться с учетом моих интересов и всегда прилунится на мою голову наилучшим образом - ниоткуда не следует. Более того, как показал H.264 и особенно H.265, стандартизаторы могут случайно заняться обслуживанием интересов каких-нибудь патентных троллей в ущерб вообще всем остальным и тому как это работает. Так что цать лет спустя после того как в ишаке появился <video> у нас все еще проблемы с тем чтобы выложить мувик в каком-то стандартном формате в вебе и чтоб у всех игралось. Хоть это и именно то место где нам нужен какой-то единый формат для обмена информацией.
> На тему флетпаков не согласен. Большинство этих пакетов так же были собраны
> мейнтерами, некоторые из них пересобирались из официальных deb-ов. Так что эквивалентно.Какие политики и где закрепляют стандарты содержания пактов этого барахла? В дебиане пакет или соответствует их политикам, или не попадает в репы. Это очень эффективно избавляет от г@вна и раздолбайства. Хоть иногда и ценой ампутации конечности, если стало понятно что там гангрена. А насколько это факт в флэтпаке - хз, поэтому всегда остаетяс шанс что гангренозное нечто утянет за собой всю остальную тушку системы.
Мне без разницы на твои детские максималистичные выпады. 10ка работает хреново. Мак неудобен. Линукс раньше был хорош, теперь все к чертям поломали, и мне обидно, что не осталось ни одной нормальной ОС для десктопа.
Мне без разницы какой идеологии кто будет придерживаться при разработке. Я просто хочу получить в пользование одну нормальную систему. Но вместо этого мы имеем десятки тысяч неработающих дистрибутивов. Уж лучше бы, действительно, в лагеря согнали.
вы в зеркало-то пробовали смотреться? Или так, отражаетесь?
Вам - аргументы. Вы в ответ - свои детские комплексы "10ка работает хреново".> Мне без разницы какой идеологии кто будет придерживаться при разработке
1.
> Я просто хочу получить в пользование одну нормальную систему2.
логика, ты где?> Но вместо этого мы имеем десятки тысяч неработающих дистрибутивов.
А мужики-то и не знают!
> В твоей логике есть проблема. Все дело в том, что мейнтеры понятия
> не имеют, как работает код пакетов, и максимум что они могут
> сделать - добавить дыр и косяков в собранный пакет или забекпортить
> уже сделанный разрабами фикс.Нет, дружок, я еще и ченджлоги к пакетам читаю. И поэтому получше тебя представляю себе возможности майнтайнеров, так что втереть мне очки - не получится, увы. И в именно дебиане достаточно народа для того, чтобы майнтенансом обычно занимался кто-то имеющий интерес к тому чем он занимается и поэтому более-менее разбирающийся в этом. Обломы конечно же бывают, как с openssl, но там вышел сбой совместной игры с разработчиками openssl, подтвердившим по запаре безопасность изменений. Разработчики openssl и сами по себе довольно посредственны в крипто и секурити, если что.
Ты наверное попутал с альтлинуксом, где на одном шигорине полсотни пакетов, и зная его програмерские умения - да, вот там я усомнюсь что он в коде ffmpeg хоть что-то смыслит. А хотя-бы потому что никогда не видел его кода на си и не уверен что он на этом вообще шпрехает.
> В лучшем случае мейнтер читает документацию и импортит пакет в более-менее
> первозданном виде, постоянно обновляя его.Кто сказал такую глупость? У дебиана толпа патчей на пакеты относительно апстрима. Кроме всего прочего они реализуют и политики относительно поведения софта, секурити, свобод и всего такого. По возможности их уталкивают в апстрим, чтобы но успех этого начинания варьируется. Ну то-есть гуглу и мозилле например не засабмитишь патчи избавляющие браузер от троянского г@вна, потому что апстрим ХОЧЕТ трояны пользователю пхать. А дебиан - не хочет это своим пользователям отгружать. И соответственно отпатчивает. И в зависимости от программы diff'ов может быть и довольно изрядно. Так что назвать дебиан ванилькой можно только с перепоя или от своего ламерства. Насчет первого не уверен, а вот второе - да, ты видный ламак, мнение которого в безопасности учитывать я бы не рекомендовал, во избежание.
> Вот только большинство пакетов уже давно заброшены, и уязвимы против того же spectre.
Да вообще-то дебианщики в testing пересобрали хренову кучу всего распоследним релизнутым gcc. А то что все это не вывалено мигом на бошки юзеров стабилизца - политика партии такая. Не превращают они продакшн в тестовых кроликов для экстренного испытания экспериментальных вакцин. Даже если это приносит какие-то свои компромиссы, оно вот так. Кому это не нравится - использует что-то отличное от Debian Stable, наверное.
> Удачи в твоих грезах)Я то как раз неплохо понимаю кто, что и почему и не питаю иллюзий. Вместо этого стараюсь реалистично оценивать разблюдовку сил, компромиссы и карту местности. И соответственно в зависимости от того что хочется получить и приоритетов и танцуем. Спектр - ну да, плохо. А заваленый продакшн с юзерами - еще хуже. Спектр требует выполнения кода атакующего на той же машине. Это атакующему доступно не всегда и не везде, поэтому резко рушить продакшн для защиты от спектра может и не быть хорошей идеей, если там не было атакующих которые код могут выполнять. Не говоря о том что спектр довольно геморный и глючный в эксплуатации, поэтому реальный threat level - умеренный.
> Нет, дружок, я еще и ченджлоги к пакетам читаю.прям ко всем?
Ну прочитайте их ченджлог к ядру и к glibc, потом возвращайтесь, поумневшим.> Ты наверное попутал с альтлинуксом
в альтлинуксе никогда не было такого позорища как CVE-2008-0166
> Ну то-есть гуглу и мозилле например не засабмитишь патчи избавляющие браузер от троянского
> г@вна, потому что апстрим ХОЧЕТ трояны пользователю пхать. А дебиан - не хочет это своим
> пользователям отгружать. И соответственно отпатчивает.вы вот этот бред сейчас - всерьез ведь, да?
ченджлоги к пакетам он читает... чувак, на пакете с травой нет ченджлога, не кури больше такую!
> Если нужна секурность используют флатпаки.Не, не так. Кто хочет засрать линух до состояния винды, с сотнями не поддерживаемых майнтайнерами версий либ с дырами - использует флатпаки. И получает у себя пародию на маздай, когда каждая программа прет либы с собой и за дыры в этих либах потом никто не отвечает. Потому что если у майнтайнеров есть четкая политика насчет патчинга дыр, то политика разработчиков приложений чаще всего сводится к "забить болт на все и вся".
Это скорее похоже на Android чем на винду. Винда просит много зависимостей и программы не изолированы. Здесь же программы не имеют доступа к системе и дырявые либы ничего тебе не сделают.
> Это скорее похоже на Android чем на винду.Да один фиг по большому счету.
> Винда просит много зависимостей и программы не изолированы.
> Здесь же программы не имеют доступа к системе и дырявые либы ничего тебе не сделают.Где это сказано? А то вон там в цитате сказано что флатпак не есть средство изоляции как таковое. И в том же андроиде программы между прочим разводят форменную проституцию и делают множество гадостей, если уж на то пошло. Поэтому я позволю себе не поверить в "ничего тебе не сделают". Особенно в случае горе-экспертов соверующих такие средства для "безопасности". Напоминает одного персонажа от BSD, у которого вирусы кишили но видите ли не срабатывали потому что ожидали Linux а там BSD. Нахрен такой подход к безопасности. Если вражеский код выполняется - у нас проблемы. А если это нативный код - проблем выше крыши.
Не один фиг. Андроид секьюрен настолько, насколько это в принципе возможно.
Аналогия абсолютно неправильная. Сендбоксинг тем и хорош, что приложение не может сделать больше того, что ты ему разршаешь. Потому что на каждую раскрытую уязвимость найдутся сотни нераскрытых, и довольно глупо и наивно думать, что последние версии библиотек всегда защищены от всех известных угроз. Разрешил доступ к файлам за пределами определенного каталога - будь готов к тому, что твои данные сопрут. Так что стандартные apt и прочие пакетные менеджеры так же дырявы, как твоя псинка.
> Не один фиг. Андроид секьюрен настолько, насколько это в принципе возможно.Однако как работает дебиан нравится мне гораздо больше. В дебиане я ощущаю себя гораздо безопаснее. Вот такой парадокс: андроид помойка с малварью, нормальную программу вообще не найдешь, а в дебиановских репах довольно трудно найти программу с малварным поведением. Так что теория - одно, а практика - вообще совсем другое.
Ну как, в андроиде сцаная вьюшка картинок норовит зачем-то GPS-тэги фоток угробить/перезаписать. А в дебиане - софт который так оборзеет или вылетит из репов, или будет отпатчен майнтайнерами.
> Аналогия абсолютно неправильная. Сендбоксинг тем и хорош, что приложение не может сделать
> больше того, что ты ему разршаешь.Сами по себе контейнеры - идея неплохая. Но вот идея распихать в контейнеры более-менее доверяемые приложения, которые нормально майнтайнят, вместо враждебных/проблемных/дырявых - нравится мне больше чем сперва создать себе проблемы, потом героически пытаться затыкать это. У ведра проблема в проститутских политиках стора и рассмотрении юзера как дойного лоха. А у дебиана вообще совсем другие политики. И это часть понятия "безопасность". Если в политиках гамно, никакие контейнеры не помогут, как показал пример андроида. Ну да, вы можете не соглашаться с разрешениями, тогда ничего работать не будет а то и вовсе программа не поставится. При том найти программы которые не борзеют - невозможно. В лучшем случае можно задним числом права отобрать, рискуя неизвестными глюками, потому что фиг бы его знает как программа реагирует на внезапные ошибки. С этим у рапидных макак все плохо и программа может просто внезапно упасть или повиснуть.
> Потому что на каждую раскрытую уязвимость найдутся сотни нераскрытых,
А в андроиде так большинство софта даже и не скрывает тот факт что он троянизированное шпионское гамно. А не нравится - не ставь. И будет у тебя лысая система, где даже фоты посмотреть нормально невозможно, потому что встроенный просмотрщик - пц какой-то.
> и довольно глупо и наивно думать, что последние версии библиотек всегда защищены
> от всех известных угроз. Разрешил доступ к файлам за пределами определенного каталога
> - будь готов к тому, что твои данные сопрут....поэтому я на самом деле сам изолирую софт, без всяких флэтфаков, которые я в гробу видал. Потому что я подумал "а как бы я это ломал?". И сделал так чтобы это было как можно канительнее и ненадежнее. Как ты думаешь, наивный кид, что ты поимеещь, проломив вот этот браузер, например? :)
> Так что стандартные apt и прочие пакетные менеджеры так же дырявы, как твоя псинка.
Я бы не назвал apt сильно дырявым. Чисто исторически-статистически.
В отличие от Вас я куда более спокоен на тему записей моих экранов и прочей слежкой внутри самого приложения. Проблема сильно преувеличена и по факту не наносит мне никакого вреда, для меня главное, чтобы приложения не читали данные, которые читать им не следует. Я так же понимаю, что данные моих перемещений и покупок публичны как бы я ни старался их скрыть, за счет камер, свидетелей, оплаты покупок и прочих вещей. Поэтому я просто не разрешаю приложениям доступ к фс, и вполне доволен.
> В отличие от Вас я куда более спокоен на тему записей моих
> экранов и прочей слежкой внутри самого приложения.Да кому-то и кандалы на ногах не очень мешают, но тогда разглагольствованиям про безопасность - грош цена. Какая у лабораторного хомяка в клетке безопасность? Как максимум у него маленький наивный мозг.
> Проблема сильно преувеличена и по факту не наносит мне никакого вреда,
А вот это - большой вопрос. По крайней мере, пользу вся эта проституция принсит почему-то акционерам, гуглу, рекламодателям, АНБ... а не мне. Так что ну его нафиг.
> для меня главное, чтобы приложения не читали данные, которые читать им не следует.
"Безопасность бывает 2 уровней - high и нехай". Если софт шарится по системе и занимается "проституцией" - он постепенно умыкнет/насобирает и достаточно ценные данные.
> Я так же понимаю, что данные моих перемещений и покупок публичны как бы
> я ни старался их скрыть, за счет камер, свидетелей, оплаты покупок и прочих вещей.Поэтому давайте повесим на скотинку колоколец и нацепим ошейник с домашним адресом, чипируем и GPS трекер навесить. Ну вот ты и будь коровой в чьем там загоне.
> Поэтому я просто не разрешаю приложениям доступ к фс, и вполне доволен.
С другой стороны, знание твоих типовых маршрутов например - довольно любопытная штука. Кроме этого есть еще и просто нежелательное поведение, когда софт то спамит уведомлениями, то реклама лезет, то в запуск себя добавляет и система тормозит, то еще какое гомно. Малварь как она есть - система живет своей жизнью и держит пользователя за дармовой ресурс.
> Потому что я подумал "а как бы я это ломал?". И сделал так чтобы это было как можно канительнее и ненадежнееКакое незамутненное самодовольство …
И почему некомпетентные бывают столь уверены... или они потому и некомпетентными не просто становятся, а остаются?
Ты то у нас светило. Ой, кажись, все-таки нет.
>Проблема
> проявляется в ветках 1.6.x и 1.7.xЭто buster aka testing и experimental-даже-не-sid в Debian-е.
Спим дальше!
>и устранена в выпусках 1.6.3ubuntu0.1,
> 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian
> OS releases: Debian testing/unstable, experimental; Ubuntu 18.04, cosmicНу что-ж. Пользователям Убунты можно сказать спасибо. Приняли на себя первый удар.
А до Debian stable проблема так и не дошла, можно спать спокойно.
Нам тут вообще мягко и шелковисто.