Идея попинать мейнтейнера оказалась богатой и плодотворной: баг
поправлен, вышла новая версия.
On 13.05.2019 10:48, Konstantin Stefanov wrote:
Приветствую.
Есть у меня сервер с несколькими jail. В одном из джейлов для pkg
заведен репозиторий вот в такой конфигурации:
FreeBSD-latest: {
url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest",
mirror_type: "srv",
signature_type: "fingerprints",
fingerprints: "/usr/share/keys/pkg",
enabled: yes,
priority: 1
}
И есть на это сервере пакет jailaudit, который, в принципе, должен для
всех джейлов сделать pkg audit, и результат выдать в ежедневную выдачу
security. И вот на этот джейл этот самый jailaudit вываливает кучу
сообщений типа
FreeBSD-latest.meta is vulnerable:
openssh -- multiple vulnerabilities
CVE: CVE-2006-5051
CVE: CVE-2006-4924
WWW:
https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html
с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты.
Небольшие разборки показали, что список пакетов (кроме стандартного pkg
query -a) jailaudit дополняет при помощи
ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v
'vuln.xml'
и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных
пакетов, после чего передается в pkg audit FreeBSD-latest.meta и
получается простыня непойми чего.
Собственно вопросы:
1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в
pkg audit, что там может быть такого интересного?
2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом
FreeBSD-latest.meta и содержимым за много-много лет?
3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще
один grep -v в скрипт?
Ну и может вообще у кого-то есть мысли по поводу?
--
Константин Стефанов,
Лаборатория параллельных информационных технологий НИВЦ МГУ
тел. +7 (495) 939-23-41
_______________________________________________
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd