Du bist nicht angemeldet.

#1 21.12.2016 17:25:52

shibumi
Mitglied

Arch Linux Security Tracker ist Online!

Hallo,
Pünktlich zu Weihnachten haben wir vom Arch Linux Security Team euch etwas mitgebracht. Arch Linux hat nun einen offiziellen Security Tracker ähnlich zu dem von Redhat oder Debian.
Diesen findet ihr unter:

https://security.archlinux.org/

Damit könnt ihr 'Arch Linux Security Advisories' browsen sowie aktuelle CVEs in Arch-Paketen einsehen.


Hoffe euch gefällts. Kritik/Vorschläge sind natürlich gern gesehen.


PS: Die Nächste Überraschung ist bereits in Planung smile

Offline

#2 21.12.2016 19:43:37

chepaz
Mitglied

Re: Arch Linux Security Tracker ist Online!

Wow, nice!

Offline

#3 21.12.2016 21:39:07

vancrash
Mitglied

Re: Arch Linux Security Tracker ist Online!

Gefällt mir smile

Offline

#4 21.12.2016 23:10:58

Schard-nologin
Gast

Re: Arch Linux Security Tracker ist Online!

shibumi schrieb:

Kritik/Vorschläge sind natürlich gern gesehen.

Einziger "Kritik"punkt: Endlich!
Danke, dass ihr (euch) die(se) Arbeit macht!

#5 22.12.2016 00:08:54

vorschlag
Gast

Re: Arch Linux Security Tracker ist Online!

finde ich super.
Ein RSS/ATOM Feed wäre gut, dann bräuchte man nicht immer alles durchsuchen.
Oder habe ich etwas übersehen?

#6 22.12.2016 00:15:30

shibumi
Mitglied

Re: Arch Linux Security Tracker ist Online!

@Schard-nologin
Der Hauptdank gebührt unserem Team-leader anthraxx. Der hat auch zu 90% den tracker code geschrieben.
Falls mal wer schauen will wie es unter der Haube aussieht (alles opensource natürlich):

https://github.com/anthraxx/arch-security-tracker

@Vorschlag
Damit können wir leider nicht dienen. Es gibt für die Advisories aber noch einen twitter und einen mailfeed. Mit bestimmten tools kannst du die in einen rss feed umwandeln zb:


https://twitrss.me/twitter_user_to_rss/ … h_security

Offline

#7 22.12.2016 07:26:07

sorry
Gast

Re: Arch Linux Security Tracker ist Online!

Ich finde "richtig" aussagekräftig ist die Seite überhaupt nicht. Wenn ich jetzt heute ein Update mache, dann muss ich selber alle Pakete prüfen, welche Version ich installiert habe? Das ist unmöglich. Habe ich einen Denkfehler?

Mein Vorschlag: Ich würde gerne ein Datum eingeben können (z.B. Heute) und die Seite zeigt mir dann an, was zu diesem Zeitpunkt verwundbar ist. So weiss ich schnell, ob ich noch offene Bugs im System habe.

Danke und Gruss

#8 22.12.2016 10:26:53

sanni
Mitglied

Re: Arch Linux Security Tracker ist Online!

sorry schrieb:

Wenn ich jetzt heute ein Update mache, dann muss ich selber alle Pakete prüfen, welche Version ich installiert habe? Das ist unmöglich.

Ich kann ja auch ganz schön blind sein, aber hast du jemals ein Pacman-Update gemacht???? 8)

Beitrag geändert von sanni (22.12.2016 10:27:12)

Offline

#9 22.12.2016 11:01:23

rriw
Gast

Re: Arch Linux Security Tracker ist Online!

sorry schrieb:

Ich würde gerne ein Datum eingeben können (z.B. Heute)

Ich vermute das Heute siehst du, wenn du auf die Seite surfst.
Wenn du dann per Zufall heute auch noch ein Update machst, dann solltest du genau die Versionen, die in der Spalte 'Affected' gelistet sind, installiert haben.

vorschlag schrieb:

Ein RSS/ATOM Feed wäre gut, dann bräuchte man nicht immer alles durchsuchen.

Wenn du ein Update machst, siehst du, was du alles zu durchsuchen brauchst.
Du möchtest sowas:

$ wget -O- https://security.archlinux.org/ | grep_html_tabellenzeile $(pacman -heutegeuptdated)

#10 22.12.2016 11:56:08

shibumi
Mitglied

Re: Arch Linux Security Tracker ist Online!

sorry schrieb:

Ich finde "richtig" aussagekräftig ist die Seite überhaupt nicht. Wenn ich jetzt heute ein Update mache, dann muss ich selber alle Pakete prüfen, welche Version ich installiert habe? Das ist unmöglich. Habe ich einen Denkfehler?

Mein Vorschlag: Ich würde gerne ein Datum eingeben können (z.B. Heute) und die Seite zeigt mir dann an, was zu diesem Zeitpunkt verwundbar ist. So weiss ich schnell, ob ich noch offene Bugs im System habe.

Danke und Gruss

Das hätte ich vielleicht dazu schreiben sollen. Es gibt im AUR bereits 2 Pakete die genau diesen Zweck erfüllen:

https://aur.archlinux.org/packages/arch-audit/
https://aur.archlinux.org/packages/pkg-audit/

Offline

#11 22.12.2016 12:16:00

Schard-nologin
Gast

Re: Arch Linux Security Tracker ist Online!

shibumi schrieb:

@Schard-nologin
Der Hauptdank gebührt unserem Team-leader anthraxx. Der hat auch zu 90% den tracker code geschrieben.
Falls mal wer schauen will wie es unter der Haube aussieht (alles opensource natürlich):

https://github.com/anthraxx/arch-security-tracker

Oha, Python. Da bin ich ja quasi zuhause.
Obwohl an einigen Stellen noch ganz schön Qualität fehlt:

def user_can_edit_issue(advisories=[]):
    role = current_user.role
    if not role.is_reporter:
        return False
    if role.is_security_team:
        return True
    return 0 == len(advisories)

vs.

def user_can_edit_issue(advisories=None):
    role = current_user.role
    if not role.is_reporter:
        return False
    if role.is_security_team:
        return True
    return advisories is None or not len(advisories)

#12 22.12.2016 12:40:23

shibumi
Mitglied

Re: Arch Linux Security Tracker ist Online!

Schard-nologin schrieb:
shibumi schrieb:

@Schard-nologin
Der Hauptdank gebührt unserem Team-leader anthraxx. Der hat auch zu 90% den tracker code geschrieben.
Falls mal wer schauen will wie es unter der Haube aussieht (alles opensource natürlich):

https://github.com/anthraxx/arch-security-tracker

Oha, Python. Da bin ich ja quasi zuhause.
Obwohl an einigen Stellen noch ganz schön Qualität fehlt:

def user_can_edit_issue(advisories=[]):
    role = current_user.role
    if not role.is_reporter:
        return False
    if role.is_security_team:
        return True
    return 0 == len(advisories)

vs.

def user_can_edit_issue(advisories=None):
    role = current_user.role
    if not role.is_reporter:
        return False
    if role.is_security_team:
        return True
    return advisories is None or not len(advisories)

Nicht meckern, anpacken. Wenn du siehst da stimmt was nicht oder Qualität ist eher so meh. Pull das Projekt und stell nen PR. smile

Offline

#13 22.12.2016 15:25:05

stefanhusmann
Moderator

Re: Arch Linux Security Tracker ist Online!

Wenn in ein Issue als "vulnerable" markiert ist, es dazu aber im Bugtracker keinen Eintrag gibt, soll man dann einen erstellen? Gibt es Überlegungen, dass dies automatisiert geschieht?

Offline

#14 22.12.2016 16:17:13

shibumi
Mitglied

Re: Arch Linux Security Tracker ist Online!

stefanhusmann schrieb:

Wenn in ein Issue als "vulnerable" markiert ist, es dazu aber im Bugtracker keinen Eintrag gibt, soll man dann einen erstellen? Gibt es Überlegungen, dass dies automatisiert geschieht?

Moin,
Wir erstellen nicht für alles einen bugreport nur für die meisten Dinge die wir als 'wichtig' erachten oder wenn die Zeit da ist. Wir haben da intern einen Bugreport-Generator für. Also eigentlich braucht ihr euch nicht die Mühe machen und da vulnerable packages rausfriemeln und bugreports für schreiben.

Automatisieren wollen wir das bisher nicht. (Ist vielleicht mal eine Überlegung wert, mal schauen).

Offline

#15 22.12.2016 16:55:24

stefanhusmann
Moderator

Re: Arch Linux Security Tracker ist Online!

Ales klar, das muss sich vielleicht auch erstmal einspielen.

Eine Ungreimtheit beim Samba-Paket:
Die Versionsnummer in der Spalte "Fixed" steht auf 4.5.3-1, und deutet somit durch die "-1" ($pkgver in PKGBUILDS) auf ein gefixtes Arch-Paket hin, das aber noch gar nicht existiert. Laut Bugreport könnte es auch auf ein Paket 4.5.2-2 mit entsprechendem Patch hinauslaufen. Ich würde da in der Spalte Fixed eine pkgver-freie Versionsnummer erwarten.

Offline

#16 22.12.2016 18:37:39

shibumi
Mitglied

Re: Arch Linux Security Tracker ist Online!

Wir erwarten, dass es zu version 4.5.3.-1 gefixed wird. Deshalb -1 ..

Offline

#17 23.12.2016 04:56:43

stefanhusmann
Moderator

Re: Arch Linux Security Tracker ist Online!

Hm, wollt ihr Erwartungen/Hoffnungen kommunizieren oder Informationen/Fakten?

Offline

#18 24.12.2016 00:00:34

shibumi
Mitglied

Re: Arch Linux Security Tracker ist Online!

stefanhusmann schrieb:

Hm, wollt ihr Erwartungen/Hoffnungen kommunizieren oder Informationen/Fakten?

Informationen/Fakten. Kannst uns schon vertrauen wink wenn wir das so schreiben passiert das auch eher so.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums