13 января 2016 г., 0:53 пользователь Andrey Melnikoff <[email protected]> написал: > Еще раз, читаем медленно - патчи беруться от производителя софтины, ибо CVE > - на софтину, репортиться производителю и ожидает его реакции в виде патчей, > новых версий, "а вы так не делайте".
Производитель софтины фиксит у себя апстрим. С хорошей вероятностью патч, который фиксит проблему, подойдет к той версии пакета, которая в stable или в oldstable. Но может быть и так, что: 1) Патч не подходит (не накладывается) 2) Софтина давно не поддерживается разработчикам Что тогда? > А вот возьмем другой CVE-2015-8668 на libtiff5 - во, тут думать надо, > апстрим не разродился патчем - поэтому и починим как разродиться. И если не разродится, то так и забьют? ) И даже в самом плохом случае за всем этим дерьмом надо следить и вовремя все находить и делать фиксы, смотреть как версия в твоём дистре работает с другой софтиной, одни опции в configure включать, другие выключать. Это головняк ещё тот. И дело тут не только в DFSG. -- With best regards Max Dmitrichenko
