curl 作者宣布不再向各发行版发送安全漏洞预警


curl 作者 Daniel Stenberg 在博客中宣布,以后将不再向各 Linux 发行版的邮件列表发送有关 cURL 安全漏洞的提前预告。

Daniel Stenberg 从 2011 年开始向发行版邮件列表(当时称为 linux-distros)发送有关"已发现但未解决"的 curl 安全漏洞的“预先通知”。通过提前通知各发行版,让他们可以抢先一步修复 curl 包。如此一来,在 curl 解决并公布安全漏洞的同时,各发行版就可以提供同步的 curl 升级和修复。

但最近 curl 项目更新了安全流程,以前 curl 会在发版日期的 48 小时内将修复程序合并到普通的公开 PR,48 小时足以完成所有已知问题的测试和 CI 验证修复。但如果出现了新的安全问题,要赶在版本发布之前测试并修复新问题,48 小时则是一个非常短的时间窗口。

为了有更多的时间来处理漏洞的修复,在新的 curl 安全流程中,如果安全问题是“低严重性或中等严重性”,将允许更早地将修复程序提交到公共 PR 中。而且 PR 中不能详细讨论安全问题的细节,只能描述用于哪个漏洞。

当然,这样做也有风险,一些别有用心的人会在“提交安全 PR —— 发版修复”这段真空期内钻漏洞,所以这种方法只能用在严重程度为低和中等的安全问题上,高风险的安全漏洞则完全不能公开。

在 curl  发布 8.0.0 版本的前一周,Daniel 仍然再次向发行版的邮件列表发送电子邮件,通知他们 curl 即将向全世界公开的六个漏洞。但这次双方的规则产生了冲突:curl 新的政策导致,在通知各发行版的时候,这些安全问题已经在公共的 git 存储库中提交了修复程序,而按照发行版邮件列表的政策规定,公开的安全问题则属于”禁运“的话题。

许多发行版都有”禁运“规则,只能在安全漏洞”发布日期的 10 天“以内将安全问题发送到公开的邮件列表中,距离安全漏洞发布日期超过十天,则不允许公开安全漏洞。

此外,如果安全问题已经有公开提交的修复代码,他们会认为该安全问题是公开的,也属于“禁运“的安全问题。

在双方的政策发生冲突后,发行版的团队要求 curl 不能再发送这类公开的安全问题到其邮件列表中。对于 Daniel 来说,这就纯纯减轻了工作量,因为 curl 基本没有等级超过中等的安全问题,大部分安全问题都会提前合并 PR ,违反了发行版的”禁运“规则。

而对于 curl 用户,这个改动则意味着他们将来从发行版中获得带安全补丁的 curl 版本的时间会稍微慢一些。


相關推薦

2022-09-10

curl 的作者 Danie 在博客中分享了 curl 持续了 23.9 年的 DOS 漏洞。 1998 年 10 月, curl 4.9 发布了,curl 4.9 是第一个带有“cookie 引擎”的版本,可以接收 HTTP cookie、解析、理解并在后续请求中正确返回 cookie。 当然,当时 curl

2023-02-17

此制定了 curl 8 发布计划》。   此版本修复了 3 个安全漏洞: CVE-2023-23914: 修复 HSTS 在多请求场景中被忽略的问题 CVE-2023-23915: HSTS amnesia with –parallel CVE-2023-23916: 修复 HTTP 压缩多 header 时存在的 DoS 攻击漏洞 此外还

2022-01-23

cURL 作者 Daniel Stenberg 在邮件透露了为 cURL 添加原生支持 JSON 的计划。 Daniel 解释了为 cURL 添加原生支持 JSON 的理由: 在 REST APIs 等领域,发送 JSON 是十分普遍的做法许多人被问及选择 cURL 替代方案的考虑因素时,“易于

2023-07-15

sp;RHEL 源代码访问性的政策,AlmaLinux OS 基金会董事会刚刚宣布了最新决定:放弃与 RHEL 1:1 兼容的目标,未来将致力于兼容应用程序二进制接口 (ABI)。 AlmaLinux 将继续提供与 RHEL 保持一致且 ABI 兼容的企业级长期 Linux 发行版,在 R

2023-05-18

写)是一个十分注重 “隐私性” 和 “隐匿性” 的 Linux 发行版,它衍生自 Debian,设计之初就是帮助用户匿名使用互联网,并最大限度保护个人隐私。 为达到此目标,Tails 使用了 Tor 网络,使得网络流量很难被追踪。Tails 还预

2024-04-04

Collin 合并了第一个提交,其中 Jia Tan 作为 git 元数据中的作者(“测试:为硬件功能创建测试”)。 2022-06-14: Jigar Kumar 发送催促邮件。“以你目前的进度,我非常怀疑今年能看到 5.4.0 版本。自 4 月以来,唯一进展就是对测试代

2023-03-03

我无法反馈此事或让他们对此采取什么行动。 这是 cURL 作者 Daniel Stenberg 近日发布的推文节选,直指微软不作为。 抱歉讲太快,现在让我们倒带 <<<<<<<<< 重新梳理一下故事的来龙去脉。 cURL 项目的作者 Dan

2021-11-19

curl 创始人兼首席开发者 Daniel Stenberg 昨日发表了一篇吐槽苹果的博客,原因是当用户向苹果寻求帮助时,苹果直接回复用户让他自行联系 curl,然后提供了 curl 的帮助页面地址。 Daniel 说道:“想象一下,一家价值万亿美

2023-04-08

Wasmer 团队宣布推出 WCGI —— 即 WebAssembly + CGI,可使用 WebAssembly 进行服务器端开发。 WCGI 将 WebAssembly 的强大功能与 CGI 的易用性和多功能性结合在一起。通过 WCGI,开发者使用 WebAssembly 和 Wasmer 即可运行任何 CGI 应用程序。

2022-11-20

curl 创始人兼核心开发者 Daniel Stenberg 发表博客称,他正在考虑是否要将 curl 使用的 C 语言标准从 C89 升级到 C99。 Daniel 表示,他观察到许多广受欢迎的 C 语言开源项目正在向前发展,并将所使用的 C 语言标准升级到 C99 或更高

2022-09-08

Uri https://install.python-poetry.org -UseBasicParsing).Content | py - 不再支持管理 Python 2.7 项目 Poetry 1.2 不再支持管理 Python 2.7 项目,原因包括: 它增加了技术债,并减缓了 Poetry 的发展。 项目有足够时间迁移到 Python 3。 如果用

2022-11-19

到 7.86.0 —— 离发布 7.100.0 只差十多个版本,但 curl 作者 Daniel Stenberg 不希望在次版本号中使用三位数,因为他担心这会引发不必要的问题(可参考 Chrome 为发布 100 版本时所做的准备),甚至可能会导致他人用于比较版

2023-06-17

bdrm、curl 等工具。部分核心软件包的更新是为了解决一些安全漏洞。 该版本的一个值得注意的内核变化是添加了 NVMe 多路径的支持,通过启用 CONFIG_NVME_MULTIPATH 配置选项。NVMe 多路径是 NVM Express 规范中关于多路径的内容,它允

2022-03-07

),因为官方正式放弃了对 MesaLink 的支持。这个库已经不再开发,所以不鼓励用户使用。 Bug 修复 对 bearssl 后端进行了三个值得注意的修复:针对证书过期、不完整的 CA 证书和会话恢复。 strlen 调用删除configure 要求 –w