Лукас Решке (Lukas Reschke), отвечающий за поддержание безопасности свободной платформы для создания облачных хранилищ ownCloud (https://www.opennet.ru/opennews/art.shtml?num=40256),
потребовал (https://lists.ubuntu.com/archives/ubuntu-devel/2014-October/... у разработчиков Ubuntu исключить пакеты (http://packages.ubuntu.com/trusty/owncloud) с сервером ownCloud из репозиториев Ubuntu. Данное требование вызвано недостаточным вниманием к устранению уязвимостей в приложениях, представленных в репозитории universe. Обязательства по оперативному выпуску обновлений распространяется (http://en.wikipedia.org/wiki/Ubuntu_%28operating_system... только на репозитории "main" и "restricted", в то время как для "universe" компания Canonical не гарантирует обеспечение поддержки (за выпуск обновлений отвечает сформированное вокруг Ubuntu независимое сообщество). Большая часть репозитория "universe" близка по своему составу к официальным пакетам Debian, но пакеты с ownCloud поддерживаются силами сообщества Ubuntu. Длительное отсутствие обновлений для пакетов с ownCloud привело к нахождению в репозитории заведомо уязвимой версии, в которой остаются незакрытыми несколько критических проблем с безопасностью, позволяющих неаутентифицированному злоумышленнику получить полный доступ к серверу с правами пользователя, под которым выполняется ownCloud.
Так как отсутствует какая-либо активность по бэкпортированию исправлений
уязвимостей (http://owncloud.org/security/advisories) в ownCloud, разработчики проекта считают, что лучшим выходом будет удаление пакетов с сервером ownCloud из состава репозиториев для всех выпусков дистрибутива. Для установки ownCloud в Ubuntu предлагается использовать официальные deb-пакеты (http://owncloud.org/install/), распространяемые с сайта ownCloud. В качестве одного из возможных путей решения проблемы также упоминается подход дистрибутива Debian, который предлагает (https://packages.debian.org/wheezy-backports/owncloud) пользователям только самые свежие выпуски ownCloud через систему бэкпортов, не оставляя устаревшие версии в основном репозитории.
Marc Deslauriers из компании Canonical ответил (https://lists.ubuntu.com/archives/ubuntu-devel/2014-October/... что невозможно удалить пакеты из архива пакетов Ubuntu и предложил подготовить обновление с новой версией, бэкпортировать исправления, подготовить пустой пакет-заглушку, удаляющий программу на системах пользователей, или найти (https://lists.ubuntu.com/archives/ubuntu-devel/2014-October/... добровольца, готового сопровождать пакет. Такой подход не устроил (https://lists.ubuntu.com/archives/ubuntu-devel/2014-October/... разработчика ownCloud, который не считает, что на upstream должна ложиться забота по поддержанию патчей для сторонних пакетов в дистрибутивах. После некоторого упорства и угрозы включить предупреждение о сложившейся ситуации в руководство по установке ownCloud, разработчики Ubuntu удалили (https://bugs.launchpad.net/ubuntu/+source/owncloud/+bug/1384... пакет с ownCloud из репозиториев Ubuntu 14.10, непосредственно до объявления релиза. Для других выпусков утверждается (https://lists.ubuntu.com/archives/ubuntu-devel/2014-October/... что удалить пакеты невозможно, так как релизы уже выпущены.
URL: https://lists.ubuntu.com/archives/ubuntu-devel/2014-October/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=40921
