> Нафига и что тут скрывать-то? По данной проблеме -- возможно, стоило уходить с виду ASAP (всё-таки шансы отловить информацию в рассылке меньше шансов отловить там плюс в более релевантных местах вроде VCS).
По другим -- повторюсь, средства координации есть, было бы желание.
> Кроме того, не представляю как через *это* координировать мало-мальски большой проект.
Выделенными людьми на security@.
> Вы, видимо, предлагаете до загрузки пакетов исключить из public все:
Для некоторых видов дырок -- да, именно так.
> общаться между собою мейнтейнерам посредством голубиной почты?
Ваш покорный слуга несколько раз такие обновления готовил, ни один голубь не упарился.
> Все-равно вы никак не устраните лаг между выходом DSA и
> обновлением пакетов у конечных пользователей.
Конечно, но vulnerability window уменьшится.
> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те
> "кому надо" - но и конечные пользователи (например, я).
Зачем именно?
>>> А еще там были пакеты, зависящие от openssl.
>> Да ладно, ещё бы ABI ему сломали вместе с RNG.
> А причем тут ABI? Там ключи слабые генерились
Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили.
> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить.
Это не "зависящие от openssl". Конкретно по openssh -- не "вылечить", а влепить чёрный список (который потом, помнится, solardiz и ещё один человек из Owl Team нашли способ оптимизировать в более компактный вид).
А, вот: http://lists.altlinux.org/pipermail/sisyphus/2008-May/330763...
PS: и сюда же для аллергиков: http://openwall.com/lists/oss-security/2008/05/27/3