The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.02.2017 10:29  Оценка безопасности WebKit в дистрибутивах Linux

Майкл Катандзаро (Michael Catanzaro), один из разработчиков web-браузера Epiphany (GNOME Web), опубликовал отчёт об актуальности пакетов с браузерным движком WebKit в дистрибутивах Linux. Майкл попытался оценить изменение ситуации спустя год, после поднятия темы о поставке в большинстве дистрибутивов устаревших версий портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащих неисправленные опасные уязвимости.

В целом отмечается значительное улучшение ситуации с безопасностью пакетов с портами WebKit. Наибольшим достижением можно считать налаживание процесса обновления WebKitGTK+ в Ubuntu. Актуальный выпуск WebKitGTK+ 2.14.3, в котором было устранено 13 уязвимостей, доставлен пользователям Ubuntu 16.04/16.10, Fedora 24/25 и Arch Linux.

В прошлых LTS-ветках Ubuntu 14.04 и 12.04, а также в Red Hat Enterprise Linux, Oracle Linux и SUSE сохраняются пакеты со старой версией WebKit 1, так как замена на WebKit2 невозможна из-за изменения API, а WebKitGTK+ на базе WebKit1 уже не поддерживается. Замена WebKit 1 на WebKit 2 невозможна, так как приведёт к нарушению совместимости c зависимостями, а бэкпортирование исправлений в устаревшую ветку выглядит излишне трудоёмким процессом. WebKitGTK+ используется в таких приложениях, как Midori, Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Sushi и Yelp (GNOME Help).

В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные уязвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3. В штатной поставке устаревшая версия WebKitGTK+ 2.6.2 остаётся по формальным причинам, в том числе в ней остаются неисправленными некоторые серьёзные проблемы со стабильностью. Актуальный выпуск WebKitGTK+ 2 также доступен в ветках unstable и testing, но после заморозки testing, следующее обновление появится только в unstable.

Похожая ситуация в openSUSE: в репозитории Tumbleweed можно найти свежий выпуск WebKitGTK+, но в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости. К тому же, подготовке обновлений для openSUSE Leap 42.2 мешает то, что выпуск основан на пакетной базе SUSE Linux Enterprise с GCC 4.8, в то время как для сборки новых версий WebKit требуется как минимум GCC 4.9.

В Gentoo свежий выпуск WebKitGTK+ можно найти только в ветке "testing", а в стабильном репозитории предлагается выпуск 2.12.5, в котором имеется 42 уязвимости. Дистрибутив Mageia пытался выпускать обновления для Mageia 5, но не ушёл дальше выпуска WebKitGTK+ 2.12.4.

Дополнение: следом опубликован релиз WebKitGTK+ 2.14.4, в котором устранено 13 уязвимостей и включена возможность использования OpenGL для ускорения отрисовки.

  1. Главная ссылка к новости (https://blogs.gnome.org/mcatan...)
  2. OpenNews: Плачевная ситуация с безопасностью WebKit в дистрибутивах Linux
  3. OpenNews: Выявление скрытых уязвимостей, возникающих из-за использования стороннего кода
  4. OpenNews: Оценка безопасности различных дистрибутивов Linux
  5. OpenNews: Дискуссия о возможности включения QtWebEngine в дистрибутивы Linux и другие ОС
  6. OpenNews: Выпуск браузерного движка WebKitGTK+ 2.14 с полноценной поддержкой Wayland
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: webkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Анон007 (?), 10:47, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –7 +/
    Да-да, увлекайтесь дальше вашим Eletron.atom.io. У-ха-ха-ха!
     
     
  • 2.2, Анон007 (?), 10:48, 10/02/2017 [^] [ответить]    [к модератору]
  • –1 +/
    Electron.atom.io
     
  • 2.4, Аноним (-), 10:57, 10/02/2017 [^] [ответить]    [к модератору]
  • +10 +/
    В  Electron не WebKit, а  libchromiumcontent c Blink и V8, который обновляется синхронно с Chromium.
     
     
  • 3.20, Аноним (-), 12:24, 10/02/2017 [^] [ответить]    [к модератору]
  • +18 +/
    Ну тогда продолжайте писать чаты и блокноты поверх браузера.
     
  • 1.3, Аноним (-), 10:51, 10/02/2017 [ответить] [показать ветку] [···]     [к модератору]
  • +4 +/
    Проблему изящно решили в RHEL5 Firefox 38 хочет GCC 4 7, 45 хочет GCC 4 8, в ре... весь текст скрыт [показать]
     
     
  • 2.8, Andrey Mitrofanov (?), 11:17, 10/02/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    ff-52 или -49 , вроде как, хочет gcc-4 8, а тек ESR 45, 234567 Debian-овцы ... весь текст скрыт [показать]
     
  • 2.13, vitvegl (?), 11:58, 10/02/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    "впихнуть" можно куда угодно, и source rpm не исключение) Конечно, это костыль, без которого никак. Ну можна еще триггер написать на стягивание всего необходимого с сети
     
     
  • 3.26, Аноним (-), 13:32, 10/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Им повезло что Firefox не требует ничего из этого в системе Например Python исп... весь текст скрыт [показать]
     
     
  • 4.83, mickvav (?), 14:30, 13/02/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    А мозилле нужно под виндами работать. Там ей всё своё - только с собой переть, иначе никак.
     
  • 4.84, aim (ok), 10:31, 21/02/2017 [^] [ответить]    [к модератору]  
  • +/
    да в докер бы запихали браузер
     
  • 2.15, Аноним (-), 12:09, 10/02/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > изящно решили
    > положили в пакет костыль
    > а вот тут сделали ещё один костыль
    > ???
    > PROFIT

    Изящество REHL!

     
  • 2.38, Аноним (-), 15:30, 10/02/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Не верю Нету тут http www freshports org www firefox-esr http www freshpo... весь текст скрыт [показать]
     
     
  • 3.46, Аноним (-), 16:29, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    http://vault.centos.org/5.11/updates/SRPMS/firefox-45.7.0-1.el5.centos.src.rp
     
  • 2.63, Аноним (-), 22:13, 10/02/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    А в чём проблема? Я просто с NixOS.
     
  • 1.6, Аноним (-), 11:13, 10/02/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Забавно смотреть как купертино взяли кхтмл и запилили себе арбузер хоть как-то р... весь текст скрыт [показать]
     
     
  • 2.12, Аноним (-), 11:58, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Konqueror тоже на KHTML, тоже работающий даже чуть лучше, чем хоть как-то.
     
  • 2.64, Led (ok), 00:04, 11/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > Забавно смотреть как купертино взяли кхтмл и запилили себе арбузер

    Не себе, а тебе. И не арбузер, а зонд.

     
  • 1.7, grsec (ok), 11:15, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Дебиан стабилен, да)
     
     
  • 2.19, ryoken (ok), 12:16, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > Дебиан стабилен, да)

    Все на SID\Experimental! Ура, товарищи! :D

     
  • 2.21, Аноним (-), 12:37, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну так backports если он нужен, на сервере не очень понимаю зачем он нужен.
     
  • 1.10, eRIC (ok), 11:35, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    >Ситуация с безопасностью QtWebKit оставляет желать лучшего, так как кодовая база движка на >годы отстаёт от основного WebKit, а исправления бэкпортируются выборочно и не регулярно

    Один вопрос: зачем тогда этот QtWebKit такой дырявый нужен? Может основной WebKit использовать. Так же разделить на модульность приложение, чтобы версии WebKit'ту было меньше привязки

     
     
  • 2.27, имя (?), 13:35, 10/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Его забросили в пользу построенного на Blink и менее удобного в использовании QtWebEngine.
     
  • 2.35, Аноним (-), 15:11, 10/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Есть свежий, не дырявый QtWebKit (https://github.com/annulen/webkit/wiki), но неясно, включат ли его в Qt
     
     
  • 3.37, nib (?), 15:29, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    включат, точнее уже
     
  • 1.17, Sluggard (ok), 12:15, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости

    Мда, стабильненько... В Leap 42.1 вообще 2.10.7 ещё.

     
     
  • 2.24, Michael Shigorin (ok), 13:18, 10/02/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > В Leap 42.1 вообще 2.10.7 ещё.

    Ну Вы поняли. :)

     
     
  • 3.25, Sluggard (ok), 13:25, 10/02/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Что поняли Что openSUSE в тексте новости упоминается, или что в оригинале по сс... весь текст скрыт [показать]
     
     
  • 4.30, Anonimus (??), 14:22, 10/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Просто Михаилу стало обидно, что его альт в новостях упоминается только как место, покинутое разработчиками.
     
     
  • 5.31, Аноним (-), 14:32, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Кем упоминается?
     
  • 5.32, Sluggard (ok), 14:42, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Не говорите глупостей.
     
  • 5.51, Michael Shigorin (ok), 17:17, 10/02/2017 [^] [ответить]     [к модератору]  
  • +/
    А давайте Вы не будете высказываться за других, когда они Вам такого права не да... весь текст скрыт [показать]
     
     
  • 6.65, Anonimus (??), 04:07, 11/02/2017 [^] [ответить]     [к модератору]  
  • +/
    В реальности есть такая новость https www linux org ru tag altlinux section 2... весь текст скрыт [показать]
     
     
  • 7.69, Michael Shigorin (ok), 13:21, 11/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Вот и слетайтесь на LOR, здесь-то что забыли и нет, не пойду PS автор уда... весь текст скрыт [показать]
     
     
  • 8.78, Anonimus (??), 19:44, 11/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >Вот и слетайтесь на LOR, здесь-то что забыли? :) (и нет, не пойду)

    Не ваш личный бложек, Михаил, следите за руками.
    Я не в курсе ваших религиозных войн под ковром, спасибо, что просветили.

     
     
  • 9.79, Michael Shigorin (ok), 21:17, 11/02/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >>> P.s. мухи, они как извнстно [B]слетаются[/B] на определенные субстанции.
    >> Вот и [B]слетайтесь[/B] на LOR
    > следите за руками

    По существу-то что сказать хотели?

     
     
  • 10.81, Anonimus (??), 08:23, 12/02/2017 [^] [ответить]    [к модератору]  
  • +/
    >Ну Вы поняли. :)

    То, что мы не поняли, только и всего.

     
  • 6.82, Анонымоус (?), 11:49, 12/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > И да, мы набираем людей.

    Можно поподробнее?

     
     
  • 7.85, Michael Shigorin (ok), 15:20, 21/02/2017 [^] [ответить]    [к модератору]  
  • +/
    >> И да, мы набираем людей.
    > Можно поподробнее?

    https://lists.altlinux.org/pipermail/devel/2016-May/201429.html (актуально)

     
     
  • 8.86, Michael Shigorin (ok), 21:38, 26/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Вот ещё подробнее https lists altlinux org pipermail devel 2017-February 2023... весь текст скрыт [показать]
     
  • 3.68, Аноним (-), 13:11, 11/02/2017 [^] [ответить]    [к модератору]  
  • +/
    А где реклама альта с заверением что там всё (не) хорошо?
     
     
  • 4.70, Michael Shigorin (ok), 13:30, 11/02/2017 [^] [ответить]     [к модератору]  
  • +/
    А мы не даём на опеннете рекламу по крайней мере до сих пор так было Вчера су... весь текст скрыт [показать]
     
     
  • 5.71, Аноним (-), 16:47, 11/02/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    ХА Не на сизифе просто опасно Впрочем, ничего нового интересно, как обновлени... весь текст скрыт [показать]
     
     
  • 6.72, Michael Shigorin (ok), 16:52, 11/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Побезопасней, чем на многих стабильных дистрибутивах, межпрочим Да, конечно -... весь текст скрыт [показать]
     
     
  • 7.76, Аноним (-), 18:43, 11/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Только вот преимуществ перед федорой или арчем не видно Неужели без systemd так... весь текст скрыт [показать]
     
     
  • 8.77, Michael Shigorin (ok), 18:50, 11/02/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Конкретно в сравнении с этими полигонами у сизифа есть как недостатки у арчика ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (20)

  • 1.18, Аноним (-), 12:16, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >WebKitGTK+ используется в таких приложениях, как
    >Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Geany, GIMP, gitg, GNOME Builder, GnuCash, gThumb

    комбайнёры, лингам им в чакру

     
     
  • 2.29, testt (ok), 14:03, 10/02/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Что-то не вижу у gimp и geany зависимости от webkitgtk.
     
  • 2.41, Аноним84701 (ok), 16:10, 10/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Да ладно, как будто не знаете, как такие вещи считается Используется в плагин... весь текст скрыт [показать]
     
  • 1.22, Аноним (-), 12:38, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Да никого это не волнует. Чем больше будет зависеть от гугла, тем больше будет таких вот "опозданий". Ах да, вебкит-то вот-вот и рип, будущее за блинком.
     
  • 1.33, Аноним (-), 15:00, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Зато в Debian, Ubuntu и всяких RHEL/CentOS все баги стабильны и хорошо задокументированы, не то что в этих ваших Archlinux.
     
     
  • 2.36, Shichael Migorin (?), 15:20, 10/02/2017 [^] [ответить]     [к модератору]  
  • +/
    Зато если спустя год после установки дистрибутива мне понадобится установить как... весь текст скрыт [показать]
     
  • 1.42, Аноним (-), 16:23, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > В Debian ситуация плачевная ... в бэкпортах для установки доступен свежий выпуск

    Эээ так плачевная или доступен свежий выпуск?

     
     
  • 2.47, коньяк (?), 16:32, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    доступен так же думаю
     
  • 1.52, freehck (ok), 17:26, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Переводчик! Тебе, конечно, решать, что переводить, а что нет. Но вот это бы перевести и вставить в текст абзаца о Debian, было бы неплохо "Note that a secure version of WebKitGTK+ is available for those in the know via the backports repository".

    В Debian так и задумано. Debian does not update WebKit as a matter of policy.

     
     
  • 2.54, Michael Shigorin (ok), 17:44, 10/02/2017 [^] [ответить]     [к модератору]  
  • +/
    При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK 2 14 3 Н... весь текст скрыт [показать]
     
     
  • 3.55, freehck (ok), 17:52, 10/02/2017 [^] [ответить]    [к модератору]  
  • +/
    > Не знаю, добавил ли кто -- я это предложение видел, когда читал новость задолго до Вашего комментария.

    Хм. Может быть и правда я проглядел. Странное дело.

     
  • 1.53, Вася (??), 17:40, 10/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные язвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3.

    и что тут плачевного? я еще понимаю если б свежая версия была только в sid/unstable. плачевный исследователь, короче.

     
     
  • 2.67, АнонимХ (ok), 13:01, 11/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Немного не понятно, мне что, нужно весь софт ставить из бекпортов, что бы в нем были исправлены уязвимости? Может тогда бекпорты надо переименовать в main, а устаревший мейн выкинуть?
     
     
  • 3.75, Аноним (-), 17:51, 11/02/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    У них своя логика, да и не важно, с ролью поставки пакетной базы в убунты справляются отлично. Остальное не важно.
     
  • 1.80, Вареник (?), 06:28, 12/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вебморды у десктопных программ - зло.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor