Майкл Катандзаро (Michael Catanzaro), один из разработчиков web-браузера Epiphany (GNOME Web), опубликовал (https://blogs.gnome.org/mcatanzaro/2017/02/08/an-update-on-w.../) отчёт об актуальности пакетов с браузерным движком WebKit в дистрибутивах Linux. Майкл попытался оценить изменение ситуации спустя год, после поднятия (https://www.opennet.dev/opennews/art.shtml?num=43806) проблемы с поставкой в большинстве дистрибутивов устаревших версий портов WebKit (WebKitGTK+, QtWebKit и WebKitEFL), содержащих неисправленные опасные уязвимости.
В целом отмечается значительное улучшение ситуации с безопасностью пакетов с портами WebKit. Наибольшим достижением можно считать налаживание процесса обновления WebKitGTK+ в Ubuntu. Актуальный выпуск WebKitGTK+ 2.14.3, в котором было устранено 13 уязвимостей (https://webkitgtk.org/security/WSA-2017-0001.html), доставлен пользователям Ubuntu 16.04/16.10, Fedora 24/25 и Arch Linux.В Ubuntu 14.04 и 12.04, а также в Red Hat Enterprise Linux, Oracle Linux и SUSE сохраняются пакеты со старой версией WebKit 1, так как замена на WebKit2 невозможна из-за нарушения API, а WebKitGTK+ на базе WebKit1 уже не поддерживается. Замена WebKit 1 на WebKit 2 невозможна, так как приведёт к нарушению совместимости c зависимостями, а бэкпортирование исправлний в устаревшую ветку выглядит излишне трудоёмким процессом. Например, что WebKitGTK+ используется в таких приложениях, как Midori, Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Devhelp, Empathy, Evolution, Geany, Geary, GIMP, gitg, GNOME Builder, GNOME Documents, GNOME Initial Setup, GNOME Online Accounts, GnuCash, gThumb, Liferea, Sushi и Yelp (GNOME Help).
В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные уязвимости (https://webkitgtk.org/security.html). При этом в бэкпортах, а также в ветках unstable и testing присутствует свежий выпуск WebKitGTK+ 2.14.3. Похожая ситуация в openSUSE: в репозитории Tumbleweed можно найти свежий выпуск WebKitGTK+, но в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимости. К тому же выпуску обновлений для openSUSE мешает то, что выпуск основан на пакетной базе SUSE Linux Enterprise с GCC 4.8, в то время как для сборки новых версий WebKit требуется как минимум GCC 4.9.
В Gentoo свежий выпуск WebKitGTK+ можно найти только в ветке "testing", а в стабильном репозитории предлагается выпуск 2.12.5, в котором имеется 42 уязвимости. Дистрибутив Mageia пытался выпускать обновления для Mageia 5, но не ушёл дальше выпуска WebKitGTK+ 2.12.4.URL: https://blogs.gnome.org/mcatanzaro/2017/02/08/an-update-on-w.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=46016
Да-да, увлекайтесь дальше вашим Eletron.atom.io. У-ха-ха-ха!
Electron.atom.io
В Electron не WebKit, а libchromiumcontent c Blink и V8, который обновляется синхронно с Chromium.
Ну тогда продолжайте писать чаты и блокноты поверх браузера.
> К тому же выпуску обновлений для openSUSE мешает то, что выпуск основан на пакетной базе SUSE Linux Enterprise с GCC 4.8, в то время как для сборки новых версий WebKit требуется как минимум GCC 4.9.Проблему изящно решили в RHEL5. Firefox 38 хочет GCC 4.7, 45 хочет GCC 4.8, в репозитории GCC 4.1 и 4.4. Ну они положили SRPM с новым GCC прямо внутрь SRPM с новым Firefox! А также Python 2.7 и Yasm. После сборки получается Firefox, который прекрасно работает со старым Libc и C++ Runtime.
Сусеводы, берите пример с редхатовцев!
> Проблему изящно решили в RHEL5. Firefox 38 хочет GCC 4.7, 45 хочет
> GCC 4.8, в репозитории GCC 4.1 и 4.4. Ну они положилиff-52 (или -49?), вроде как, "хочет" gcc-4.8, а тек.ESR 45,[234567] Debian-овцы с "обычным" gcc-4.7 собирают. --Wheezy LTS.
> Сусеводы, берите пример с редхатовцев!
Они же не собирают его из вложенных _исходников_, то есть кладут бинарник в исходники?? Анафема!! Столмана на них нет... --Ну, хоть бизнесы довольны.
Учитесь у Debian-овцев (стянувших пакет из убунту)!
https://packages.debian.org/src%3Фgcc-mozilla (гм, "security", да....)
https://lists.debian.org/debian-lts/2016/10/msg00004.html
"впихнуть" можно куда угодно, и source rpm не исключение) Конечно, это костыль, без которого никак. Ну можна еще триггер написать на стягивание всего необходимого с сети
Им повезло что Firefox не требует ничего из этого в системе. Например Python используется только для сборки. Потребуй мозилловцы его в системе, и обязательно не старее такого-то - не знаю как бы они выполняли гарантию штабильности своего LTS-дистрибутива перед корпоративными клиентами!
А мозилле нужно под виндами работать. Там ей всё своё - только с собой переть, иначе никак.
да в докер бы запихали браузер
> изящно решили
> положили в пакет костыль
> а вот тут сделали ещё один костыль
> ???
> PROFITИзящество REHL!
> Проблему изящно решили в RHEL5. Firefox 38 хочет GCC 4.7, 45 хочет
> GCC 4.8, в репозитории GCC 4.1 и 4.4.Не верю. Нету тут
http://www.freshports.org/www/firefox-esr/
http://www.freshports.org/www/firefox/
никаких gcc в зависимостях.
http://vault.centos.org/5.11/updates/SRPMS/firefox-45.7.0-1....
А в чём проблема? Я просто с NixOS.
Забавно смотреть как купертино взяли кхтмл и запилили себе арбузер хоть как-то работающий, а сообщество в состоянии только вести учёт ошибок. Единственный достойный на вэбките из браузеров был uzbl за всё время и тот забросили. Это печально
Konqueror тоже на KHTML, тоже работающий даже чуть лучше, чем хоть как-то.
> Забавно смотреть как купертино взяли кхтмл и запилили себе арбузерНе себе, а тебе. И не арбузер, а зонд.
Дебиан стабилен, да)
> Дебиан стабилен, да)Все на SID\Experimental! Ура, товарищи! :D
Ну так backports если он нужен, на сервере не очень понимаю зачем он нужен.
>Ситуация с безопасностью QtWebKit оставляет желать лучшего, так как кодовая база движка на >годы отстаёт от основного WebKit, а исправления бэкпортируются выборочно и не регулярноОдин вопрос: зачем тогда этот QtWebKit такой дырявый нужен? Может основной WebKit использовать. Так же разделить на модульность приложение, чтобы версии WebKit'ту было меньше привязки
Его забросили в пользу построенного на Blink и менее удобного в использовании QtWebEngine.
Есть свежий, не дырявый QtWebKit (https://github.com/annulen/webkit/wiki), но неясно, включат ли его в Qt
включат, точнее уже
> в штатной поставке openSUSE Leap 42.2 предлагается устаревшая версия WebKitGTK+ 2.12.5, содержащая 42 известные уязвимостиМда, стабильненько... В Leap 42.1 вообще 2.10.7 ещё.
> В Leap 42.1 вообще 2.10.7 ещё.Ну Вы поняли. :)
> Ну Вы поняли. :)Что поняли? Что openSUSE в тексте новости упоминается, или что в оригинале по ссылке есть про Leap 42.1, с такой вот древней версией? Ну да, поняли, конечно.
Ещё какие-то комментарии? )
Просто Михаилу стало обидно, что его альт в новостях упоминается только как место, покинутое разработчиками.
Кем упоминается?
Не говорите глупостей.
> Просто Михаилу стало обидно, что его альт в новостях упоминается
> только как место, покинутое разработчиками.А давайте Вы не будете высказываться за других, когда они Вам такого права не давали и особенно когда вообще не понимаете, что несёте?
В реальности наблюдается чуть другое:
basealt.ru/about/news/archive/view/bazalt-spo-pervaja-rossiiskaja-os-urovnja-predprijati/
m.cnews.ru/news/line/2016-12-02_rossijskaya_os_bazalt_spo_urovnya_predpriyatiya
www.crn.ru/news/detail_print.php?ID=115912&print=Y
ru.pcmag.com/importozameshchenie/25928/news/bazalt-spo-snimet-gosstruktury-s-igly-microsoftИ да, мы набираем людей. Как правило -- людей с именем.
PS: просто зарисовка: нагадивший тут насчёт "сердюкова" в соседних темах ровно так же гадит в пользу некрософта. Что там говорили про пчёл и мух?
PPS: мух не жалко.
В реальности есть такая новость: https://www.linux.org.ru/tag/altlinux?section=2 там белым по черному написано про исход. Идите туда, Михаил спорить.
P.s. мухи, они как извнстно слетаются на определенные субстанции.
P.p.s. Делайте продукт, а не то, на что только мухи садятся.
> В реальности есть такая новость: https://www.linux.org.ru/tag/altlinux?section=2 там
> белым по черному написано про исход. Идите туда, Михаил спорить.
> P.s. мухи, они как извнстно слетаются на определенные субстанции.Вот и слетайтесь на LOR, здесь-то что забыли? :) (и нет, не пойду)
PS: автор удалённого #66 в теме про android-x86 нагадил в адрес savannah.gnu.org так: "Спасибо - религиозные фанатики на работе не нужны, наоборот - повод их уволить, дабы в ответственный момент религия не мешала работать" -- делайте выводы, братцы, кому альт жить мешает, равно как и умодерирование их тупой пропаганды виндов.
>Вот и слетайтесь на LOR, здесь-то что забыли? :) (и нет, не пойду)Не ваш личный бложек, Михаил, следите за руками.
Я не в курсе ваших религиозных войн под ковром, спасибо, что просветили.
>>> P.s. мухи, они как извнстно слетаются на определенные субстанции.
>> Вот и слетайтесь на LOR
> следите за рукамиПо существу-то что сказать хотели?
>Ну Вы поняли. :)То, что мы не поняли, только и всего.
> И да, мы набираем людей.Можно поподробнее?
>> И да, мы набираем людей.
> Можно поподробнее?https://lists.altlinux.org/pipermail/devel/2016-May/201429.html (актуально)
>>> И да, мы набираем людей.
>> Можно поподробнее?
> https://lists.altlinux.org/pipermail/devel/2016-May/201429.html (актуально)Вот ещё подробнее: https://lists.altlinux.org/pipermail/devel/2017-February/202...
А где реклама альта с заверением что там всё (не) хорошо?
> А где реклама альтаА мы не даём на опеннете рекламу (по крайней мере до сих пор так было).
> с заверением что там всё (не) хорошо?
Вчера сунулся было на http://packages.altlinux.org/libwebkitgtk4 и выяснил, что после перезагрузки серверов с новым ядром оно само не поднялось -- пришлось предпринять очередной подход к освоению подъёма рельсовой софтинки автономно от разработчика (он-то чаще деплоит, чем именно запускает), на этот раз успешно, но в процессе времени на трёп уже не осталось.
>Sisyphus: 2.14.4-alt1
>p8: 2.12.5-alt1ХА! Не на сизифе просто опасно. Впрочем, ничего нового.
>что после перезагрузки серверов с новым ядром оно само не поднялось -- пришлось предпринять очередной подход к освоению подъёма рельсовой софтинки автономно от разработчикаинтересно, как обновление ядра влияет на прикладной софт? А так продакшин такой продакшин.
>А мы не даём на опеннете рекламу (по крайней мере до сих пор так было).Зато в теме про уязвимость баша кто-то из ваших успел отметится.
>>Sisyphus: 2.14.4-alt1
>>p8: 2.12.5-alt1
> ХА! Не на сизифе просто опасно.Побезопасней, чем на многих "стабильных" дистрибутивах, межпрочим.
> Впрочем, ничего нового.
Да, конечно -- отправил бэкпорт: http://webery.altlinux.org/task/178033 (но не факт, что с первой попытки доберётся).
> интересно, как обновление ядра влияет на прикладной софт?
> А так продакшин такой продакшин.А там автозапуска нет. Ровно об этом вчера и говорили с Игорем.
>> А мы не даём на опеннете рекламу (по крайней мере до сих пор так было).
> Зато в теме про уязвимость баша кто-то из ваших успел отметится.Как минимум я и отметился. :) Боюсь только, Максиму с того никакой прибыли...
>Побезопасней, чем на многих "стабильных" дистрибутивах, межпрочим.Только вот преимуществ перед федорой или арчем не видно.
>А там автозапуска нетНеужели без systemd так тяжело создать скрипт что будет запускать прогу?
>>Побезопасней, чем на многих "стабильных" дистрибутивах, межпрочим.
> Только вот преимуществ перед федорой или арчем не видно.Конкретно в сравнении с этими полигонами у сизифа есть как недостатки (у арчика более полная/оперативная документация, у федоры понятней для новичка сборочный инструментарий), так и достоинства -- которые включают в себя и плюсы относительно стабильных дистрибутивов, о которых и говорил. Например, шансы оказаться у разбитого корыта после обновления существенно ниже.
>>А там автозапуска нет
> Неужели без systemd так тяжело создать скрипт что будет запускать прогу?Нет, не тяжело -- просто надо было знать, что именно дёрнуть и с каким окружением.
>WebKitGTK+ используется в таких приложениях, как
>Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Geany, GIMP, gitg, GNOME Builder, GnuCash, gThumbкомбайнёры, лингам им в чакру
Что-то не вижу у gimp и geany зависимости от webkitgtk.
>>WebKitGTK+ используется в таких приложениях, как
>>Rhythmbox, Shotwell, Anjuta, Banshee, Bijiben (GNOME Notes), Geany, GIMP, gitg, GNOME Builder, GnuCash, gThumb
> комбайнёры, лингам им в чакруДа ладно, как будто не знаете, как такие вещи считается ;)
> Geany
Используется в плагинах типа markdown/webhelper/devhelper.
> GIMP
опять же плагин
собираем с "--without-webkit".
> --without-webkit. If for some reason you don't want to build the
> Help Browser plug-in, you can use --without-webkit to disable
> it explicitly..
> gitg
дропнули:
> = gitg 3.19.1 =
> Version 3.19.1 was released on 2015-12-21
> == Changes ==
>- Rework diff view to use GtkSourceView instead of Webkit.
> Rhythmboxвроде как опциональная зависимость для подкаст-плагина и вроде как даже убрали:
https://git.gnome.org/browse/rhythmbox/commit/?id=4c951c8648...
Да никого это не волнует. Чем больше будет зависеть от гугла, тем больше будет таких вот "опозданий". Ах да, вебкит-то вот-вот и рип, будущее за блинком.
Зато в Debian, Ubuntu и всяких RHEL/CentOS все баги стабильны и хорошо задокументированы, не то что в этих ваших Archlinux.
Зато если спустя год после установки дистрибутива мне понадобится установить какое-нибудь ПО, мне не придется обновлять пол системы на новые мажорные версии, которые скорее всего будут вести сбя непредсказуемо. В дебиан прикол не в том, что он весь из себя стабильный, а в неизмености пакетов (максимально возможной), благодаря чему в нем можно работать после изучения существующих багов и не бояться , чтобы скомпилированые тобой программы отвалятся после обновления зависимостей. Но с другой стороны можно например выкачать весь репозиторий арча и подрубить его локально. Будет примерно как с дебиан стейбл, только исправления безопасностей (какие-никакие) приходить не будут, но зато шустрый божественный пакман вместо душного дипэкэйджа
> В Debian ситуация плачевная ... в бэкпортах для установки доступен свежий выпускЭээ так плачевная или доступен свежий выпуск?
доступен так же думаю
Переводчик! Тебе, конечно, решать, что переводить, а что нет. Но вот это бы перевести и вставить в текст абзаца о Debian, было бы неплохо "Note that a secure version of WebKitGTK+ is available for those in the know via the backports repository".В Debian так и задумано. Debian does not update WebKit as a matter of policy.
> "Note that a secure version of WebKitGTK+ is available for
> those in the know via the backports repository"."При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3".
Не знаю, добавил ли кто -- я это предложение видел, когда читал новость задолго до Вашего комментария.
> Не знаю, добавил ли кто -- я это предложение видел, когда читал новость задолго до Вашего комментария.Хм. Может быть и правда я проглядел. Странное дело.
> В Debian ситуация плачевная, в состав выпуска Debian 8.7 входит WebKitGTK+ 2.6.2, в котором остаются неисправленными 184 известные язвимости. При этом в бэкпортах для установки доступен свежий выпуск WebKitGTK+ 2.14.3.и что тут плачевного? я еще понимаю если б свежая версия была только в sid/unstable. плачевный исследователь, короче.
Немного не понятно, мне что, нужно весь софт ставить из бекпортов, что бы в нем были исправлены уязвимости? Может тогда бекпорты надо переименовать в main, а устаревший мейн выкинуть?
У них своя логика, да и не важно, с ролью поставки пакетной базы в убунты справляются отлично. Остальное не важно.
Вебморды у десктопных программ - зло.