Разработчики ownCloud потребовали исключить свой проект из репозиториев Ubuntu

Лукас Решке (Lukas Reschke), отвечающий за поддержание безопасности свободной платформы для создания облачных хранилищ ownCloud, потребовал у разработчиков Ubuntu исключить пакеты с сервером ownCloud из репозиториев Ubuntu. Данное требование вызвано недостаточным вниманием к устранению уязвимостей в приложениях, представленных в репозитории universe. Обязательства по оперативному выпуску обновлений распространяется только на репозитории «main» и «restricted», в то время как для «universe» компания Canonical не гарантирует обеспечение поддержки (за выпуск обновлений отвечает сформированное вокруг Ubuntu независимое сообщество). Большая часть репозитория «universe» близка по своему составу к официальным пакетам Debian, но пакеты с ownCloud поддерживаются силами сообщества Ubuntu. Длительное отсутствие обновлений для пакетов с ownCloud привело к нахождению в репозитории заведомо уязвимой версии, в которой остаются незакрытыми несколько критических проблем с безопасностью, позволяющих неаутентифицированному злоумышленнику получить полный доступ к серверу с правами пользователя, под которым выполняется ownCloud.

Так как отсутствует какая-либо активность по бэкпортированию исправлений уязвимостей в ownCloud, разработчики проекта считают, что лучшим выходом будет удаление пакетов с сервером ownCloud из состава репозиториев для всех выпусков дистрибутива. Для установки ownCloud в Ubuntu предлагается использовать официальные deb-пакеты, распространяемые с сайта ownCloud. В качестве одного из возможных путей решения проблемы также упоминается подход дистрибутива Debian, который предлагает пользователям только самые свежие выпуски ownCloud через систему бэкпортов, не оставляя устаревшие версии в основном репозитории.

Marc Deslauriers из компании Canonical ответил, что невозможно удалить пакеты из архива пакетов Ubuntu и предложил подготовить обновление с новой версией, бэкпортировать исправления, подготовить пустой пакет-заглушку, удаляющий программу на системах пользователей, или найти добровольца, готового сопровождать пакет. Такой подход не устроил разработчика ownCloud, который не считает, что на upstream должна ложиться забота по поддержанию патчей для сторонних пакетов в дистрибутивах. После некоторого упорства и угрозы включить предупреждение о сложившейся ситуации в руководство по установке ownCloud, разработчики Ubuntu удалили пакет с ownCloud из репозиториев Ubuntu 14.10, непосредственно до объявления релиза. Для других выпусков утверждается, что удалить пакеты невозможно, так как релизы уже выпущены.

©  OpenNet