¿Actualizaciones de seguridad para el repositorio de universos para lanzamientos de LTS?

9

¿Qué sucede si hay un problema de seguridad en un paquete en el repositorio del universo cuatro años después de la versión 12.04 LTS? ¿se actualizará el paquete desde la parte superior, parcheado o dejado solo?

Entiendo que los "5 años de actualizaciones de soporte y seguridad" se aplican solo al núcleo de Ubuntu, cualquier cosa en el repositorio principal. No para cosas en el repositorio del Universo.

Para un ejemplo más específico: si instalo Ruby ahora y quiero usarlo durante los próximos años en 12.04 y tiene una vulnerabilidad de seguridad; Si bien esto podría corregirse en el flujo ascendente (por lo que siempre podría descargar lo último de su sitio web y compilarlo yo mismo o usar un PPA), ¿se migrará este arreglo ascendente a los repositorios de paquetes precisos? ¿Qué pasa con los backports?

Nick May
fuente

Respuestas:

6

Los paquetes en Universe son mantenidos por la comunidad. Si obtienen o no actualizaciones de seguridad depende completamente de la comunidad que las usa.

Las instrucciones para contribuir con actualizaciones de seguridad para paquetes en Universe están aquí:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Básicamente, cualquiera puede presentar un error, adjuntar un debdiff, suscribirse al equipo de ubuntu-security-sponsors y alguien del equipo lo revisará para asegurarse de que esté bien, y luego lo patrocinará en el archivo.

mdeslaur
fuente
4

El ejemplo que proporcionó, Ruby, está en el repositorio principal y es compatible durante cinco años:

$ apt-cache show ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/ruby-defaults/ruby_4.8_all.deb
Supported: 5y

Vea también mi respuesta a "¿12.04 LXDE tiene LTS?" y ¿Cómo obtengo una lista de paquetes no LTS instalados de manera eficiente? .

Para el software del universo, ni siquiera está oficialmente soportado en absoluto , y mucho menos por cinco años. Desde Community Wiki en los repositorios :

Canonical no proporciona una garantía de actualizaciones de seguridad periódicas para el software en el componente de universo, pero las proporcionará cuando la comunidad las ponga a disposición.

Sin embargo, puede esperar los problemas más graves en los paquetes populares que la comunidad parchea para mantener el software en el universo . Simplemente no hay garantías.

Para los backports, mi opinión es que no deberían usarse en la producción.

gertvdijk
fuente