46885 2023-07-12 15:49:11 +0300 некорректная схема версионирования пакета 2024-01-30 10:47:08 +0300 1 1 4 Development Sisyphus usbip unstable x86_64 Linux NEW P5 normal --- 1 dshein pv lav led pv rider qa-sisyphus oldest_to_newest 229562 0 dshein 2023-07-12 15:49:11 +0300 Пакет в репозитории имеет схему версионирования MAJOR.MINOR в то время как в апстриме применяется схема MAJOR.MINOR.PATCH В настоящий момент в рамках проекта ALTRepo DB (packages.altlinux.org, rdb.altlinux.org) ведётся активная разработка иyструментария поиска открытых и закрытых уязвимостей пакетов репозитория ALT Linux. Существующая схема версионирования приводит к тому, что при анализе уязвимости пакетов с использованием данных CVE возникают ошибки при сравнении версий. Например для версии пакета 5.10 уязвимость содержащая следующую конфигурацию `CPE matching`: { "cpe": "cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*", "versions": { "version_start": "", "version_end": "5.10.0", "version_start_excluded": false, "version_end_excluded": true } } считается открытой потому что версия 5.10 при сравнении считается меньше чем 5.10.0, которая исключена из диапазона версий. В других дистрибутивах пакет usbip версионируется по схеме как у ядра (MAJOR.MINOR.PATCH) https://repology.org/project/linux/versions Изменение схемы версионирования позволит эффективно отслеживать как закрытые так и открытые уязвимость пакетов в репозитории и значительно снизить процент ложных срабатываний. 230575 1 lav 2023-07-29 13:34:25 +0300 (Ответ для Danil Shein на комментарий #0) > Пакет в репозитории имеет схему версионирования MAJOR.MINOR в то время как в > апстриме применяется схема MAJOR.MINOR.PATCH ... > считается открытой потому что версия 5.10 при сравнении считается меньше чем > 5.10.0, которая исключена из диапазона версий. > > В других дистрибутивах пакет usbip версионируется по схеме как у ядра > (MAJOR.MINOR.PATCH) > https://repology.org/project/linux/versions ... К примеру, у нас пакеты с исходниками ядра выглядят так: kernel-source-6.0 - Linux kernel 6.0 sources kernel-source-6.1 - Linux kernel 6.1 sources kernel-source-6.2 - Linux kernel 6.2 sources kernel-source-6.3 - Linux kernel 6.3 sources kernel-source-6.4 - Linux kernel 6.4 sources Я могу добавить .0 к версии. 240872 2 rider 2024-01-30 10:47:08 +0300 Да, добавить .0 к версии было бы отлично.