![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
После перехода на новую модель сопровождения дистрибутива, допускающую применение собственных патчей, разработчики Alma Linux устранили в пакете iperf3 уязвимость (CVE-2023-38403) и попытались передать подготовленное исправление в CentOS Stream, так как уязвимость оставалась неисправленная в RHEL и CentOS Stream...
В ответ, сотрудник Red Hat пояснил, что готовым патчем дело не ограничивается и разработка исправления лишь один из этапов в подготовке обновления пакета - необходимо убедиться, что исправление проходит контроль качества и после применения в пакете не приводит к регрессивным изменениям. Поэтому в обязательном порядке устраняются только критические и важные уязвимости, а проблемы с низким и средним уровнем опасности решаются по мере появления необходимости. В конечном счёте, после дискуссии сотрудники Red Hat из команды, отвечающей за безопасность, пересмотрели свою позицию, присвоили проблеме статус важной, приняли патч и выпустили обновление пакета с исправлением уязвимости.
https://www.opennet.ru/opennews/art.shtml?num=59520
В ответ, сотрудник Red Hat пояснил, что готовым патчем дело не ограничивается и разработка исправления лишь один из этапов в подготовке обновления пакета - необходимо убедиться, что исправление проходит контроль качества и после применения в пакете не приводит к регрессивным изменениям. Поэтому в обязательном порядке устраняются только критические и важные уязвимости, а проблемы с низким и средним уровнем опасности решаются по мере появления необходимости. В конечном счёте, после дискуссии сотрудники Red Hat из команды, отвечающей за безопасность, пересмотрели свою позицию, присвоили проблеме статус важной, приняли патч и выпустили обновление пакета с исправлением уязвимости.
https://www.opennet.ru/opennews/art.shtml?num=59520
