Posté par Psychofox (Mastodon) .
Évalué à 4.
Dernière modification le 22 septembre 2023 à 08:20.
Ce qui m'embête c'est que j'ai très vite vu des updates passer pour firefox et les forks de chromium que j'utilise mais certains navigateurs moins je n'ai rien vu passer pour des navigateurs moins populaires comme Gnome Web/Epiphany[1] et j'imagine que c'est la même chose pour plein d'autres petits projets de navigateurs. Hors je suis quasi sur que tous ces navigateurs n'ont pas décidés d'écrire leur propre support webp et se basent sur la même libwebp développée par Google.
Ont-ils au moins été mis dans la boucle durant la période d'embargo?
J'ai effectivement des maj de la libwebp en septembre. J'ai fais l'erreur de vérifier l'historique du navigateur et pas de la lib. C'est vrai que contrairement à firefox et un flatpak incluant chromium, la lib est mise à jour de manière indépendante.
Posté par flagos .
Évalué à 1.
Dernière modification le 22 septembre 2023 à 10:00.
Dingue.
Tu es donc en train d'expliquer que, dans le cas tellement cite d'une faille dans une lib utilisée par plein de packages dans le cas d'un packaging flatpak, il suffit de mettre a jour le runtime et c'est fini.
C'est dingue, c’était aussi simple que ca. Le principal argument de ceux qui nous pourfendent bruyamment Flatpak depuis ~10 ans maintenant vient de tomber a l'eau sans que ça n’émeuve personne.
Est-ce encore un bel exemple de résistance au changement ? Bon vendredi a tous !
Posté par Psychofox (Mastodon) .
Évalué à 5.
Dernière modification le 22 septembre 2023 à 11:52.
On peut juste comme bémol reprocher une certaine opacité de la chose. D'une part parce que toute est dans un, voire plusieurs packages runtime[1], et que les libs individuelles incorporées dedans ne sont pas directement visibles via un flatpak info et encore moins dans gnome-software. D'autre part parce que flatpak history ne donne pas de détails à part un numéro de commit et son sujet associé. Du coup pour le runtime freedesktop de flathub tu dois d'abord aller sur la page de documentation de flatpak pour apprendre que le repo est sur gitlab et prendre connaissance des commits. Et si tu utilises des paquets d'un autre repo que flathub, tu dois aller chercher ailleurs la même info.
$ flatpak info org.fedoraproject.Platform
Fedora Platform - Shared libraries
ID: org.fedoraproject.Platform
Ref: runtime/org.fedoraproject.Platform/x86_64/f38
Arch: x86_64
Branch: f38
Version: 38
License: GPL-2.0-or-later
Origin: fedora
Installation: system
Installed: 2,7 Go
Commit: 0029fdbe1a68fed69147a3c6eb242c847455e1f28b4a623f6ac27e4eb93519d4
Subject: build of runtime/org.fedoraproject.Platform/x86_64/f38
Date: 2023-09-12 20:50:56 +0000
Alt-id: 1c2b9dfb554c560bb82cb58d79f18447bd859da7d15386cbf0db83bd108b6b79
$ flatpak history
Time Change Application Branch Installation Remote
sept. 15 17:06:56 deploy update org.fedoraproject.Platform f38 system fedora
sept. 15 17:07:01 deploy update org.gnome.eog stable system fedora
sept. 15 17:07:04 deploy update org.gnome.clocks stable system fedora
sept. 15 17:07:06 deploy update org.gnome.Weather stable system fedora
sept. 15 17:07:10 deploy update org.gnome.NautilusPreviewer stable system fedora
[...]
Pas super mega parlant hein. Alors oui je sais les madames et monsieurs Michus de ce bas-monde n'ont pas forcément envie ni besoin d'en savoir plus. Mais moi quand je vois un CVE avec un 0day qui est déjà confirmé en exploitation par des gens malveillants, j'aime bien savoir rapidement et facilement quelle appli utilise quelle lib et quand elle a été mise à jour. Sur un gestionnaire de paquet traditionnel, tu n'as pas non plus un changelog mais en général ça parait plus facile de trouver qu'une version du paquet a été modifié et à quelle date. Sans avoir le détail tu sais que si la version de la lib n'a pas changé mais que la version du paquet a changé, c'est qu'un backport d'une maj de secu ou d'un gros bug génant a été réalisé.
[1] par exemple sur ma Fedora Silverblue, j'ai le runtime org.freedesktop.Platform pour des trucs installés depuis flathub mais org.fedoraproject.Platform pour ce qui vient du repo flatpak Fedora
Posté par Psychofox (Mastodon) .
Évalué à 4.
Dernière modification le 22 septembre 2023 à 12:08.
EDIT: dans le cas de la silverblue, c'est pas claire si org.fedoraproject.Platform se substitue pas à org.freedesktop.Platform ou si le second dépend du premier (https://src.fedoraproject.org/flatpaks/flatpak-runtime).
Bref si je regardes l'info de mon paquet org.freedesktop.Platform je vois un dernier commit le 3 septembre:
`$ flatpak info org.freedesktop.Platform
Freedesktop Platform - Shared libraries
Et un paquet qui a été mis à jour le 13 sur cette machine:
$ flatpak history
Time Change Application Branch Installation Remote
[...]
sept. 15 17:49:07 deploy install org.freedesktop.Platform 22.08 system flathub
Du coup selon moi, gnome-web/epiphany tel qu'installé sur ma silverblue est peut-être toujours vulnérable.
Quelqu'un plus proche du developpement de la Silverblue et de flathub peut m'éclairer sur ce point? J'avoue que je suis encore un peu novice avec flatpak.
Si le navigateur utilise la libraire en mode dynamique (ld.so) alors un patch de la bibliothèque dynamique suffit (enfin il faut quand même redémarrer le-dit navigateur).
Par contre si c’est embarqué en statique alors là oui il faut également patcher le navigateur (pour qu’il se lit à une version à jour de la bibliothèque statique webp). À mon avis, c’est comme pour libpng, c’est dynamique donc un patch du .so de ton OS suffit.
Posté par Psychofox (Mastodon) .
Évalué à 3.
Dernière modification le 22 septembre 2023 à 11:00.
Oui c'est bon je connais le principe _! j'ai juste pas tilté parce que justement les navigateurs principaux embarquent maintenant souvent tout dans un gros paquet et que gnome-web justement le fait toujours à la dynamique.
Sa remarque demeure cependant pertinente : on peut avoir une appli en Go ou autre qui embarque une version de la bibliothèque. :s La question se pose aussi pour les snap/flatpack/etc où ce n’est pas la bibliothèque du système qui est utilisée… Je vais voir s’il y a des commentaires qui développent ce point.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 22 septembre 2023 à 08:20.
Ce qui m'embête c'est que j'ai très vite vu des updates passer pour firefox et les forks de chromium que j'utilise mais certains navigateurs moins je n'ai rien vu passer pour des navigateurs moins populaires comme Gnome Web/Epiphany[1] et j'imagine que c'est la même chose pour plein d'autres petits projets de navigateurs. Hors je suis quasi sur que tous ces navigateurs n'ont pas décidés d'écrire leur propre support webp et se basent sur la même libwebp développée par Google.
Ont-ils au moins été mis dans la boucle durant la période d'embargo?
[1] la version installée sur ma Fedora a 4 mois!
[^] # Re: les navigateurs moins populaires
Posté par Okki (site web personnel, Mastodon) . Évalué à 3.
Fedora m'a pourtant proposé la semaine dernière une mise à jour incluant le correctif :
[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 3.
hmmm tu parles du navigateur ou de la libwebp?
J'ai effectivement des maj de la libwebp en septembre. J'ai fais l'erreur de vérifier l'historique du navigateur et pas de la lib. C'est vrai que contrairement à firefox et un flatpak incluant chromium, la lib est mise à jour de manière indépendante.
[^] # Re: les navigateurs moins populaires
Posté par Okki (site web personnel, Mastodon) . Évalué à 5.
La libwebp. Côté Flatpak, ça a également été corrigé le 13 septembre dans le runtime Freedesktop.
[^] # Re: les navigateurs moins populaires
Posté par flagos . Évalué à 1. Dernière modification le 22 septembre 2023 à 10:00.
Dingue.
Tu es donc en train d'expliquer que, dans le cas tellement cite d'une faille dans une lib utilisée par plein de packages dans le cas d'un packaging flatpak, il suffit de mettre a jour le runtime et c'est fini.
C'est dingue, c’était aussi simple que ca. Le principal argument de ceux qui nous pourfendent bruyamment Flatpak depuis ~10 ans maintenant vient de tomber a l'eau sans que ça n’émeuve personne.
Est-ce encore un bel exemple de résistance au changement ? Bon vendredi a tous !
[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 5. Dernière modification le 22 septembre 2023 à 11:52.
On peut juste comme bémol reprocher une certaine opacité de la chose. D'une part parce que toute est dans un, voire plusieurs packages runtime[1], et que les libs individuelles incorporées dedans ne sont pas directement visibles via un
flatpak infoet encore moins dans gnome-software. D'autre part parce queflatpak historyne donne pas de détails à part un numéro de commit et son sujet associé. Du coup pour le runtime freedesktop de flathub tu dois d'abord aller sur la page de documentation de flatpak pour apprendre que le repo est sur gitlab et prendre connaissance des commits. Et si tu utilises des paquets d'un autre repo que flathub, tu dois aller chercher ailleurs la même info.Pas super mega parlant hein. Alors oui je sais les madames et monsieurs Michus de ce bas-monde n'ont pas forcément envie ni besoin d'en savoir plus. Mais moi quand je vois un CVE avec un 0day qui est déjà confirmé en exploitation par des gens malveillants, j'aime bien savoir rapidement et facilement quelle appli utilise quelle lib et quand elle a été mise à jour. Sur un gestionnaire de paquet traditionnel, tu n'as pas non plus un changelog mais en général ça parait plus facile de trouver qu'une version du paquet a été modifié et à quelle date. Sans avoir le détail tu sais que si la version de la lib n'a pas changé mais que la version du paquet a changé, c'est qu'un backport d'une maj de secu ou d'un gros bug génant a été réalisé.
[1] par exemple sur ma Fedora Silverblue, j'ai le runtime org.freedesktop.Platform pour des trucs installés depuis flathub mais org.fedoraproject.Platform pour ce qui vient du repo flatpak Fedora
[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 22 septembre 2023 à 12:08.
EDIT: dans le cas de la silverblue, c'est pas claire si
org.fedoraproject.Platformse substitue pas àorg.freedesktop.Platformou si le second dépend du premier (https://src.fedoraproject.org/flatpaks/flatpak-runtime).Bref si je regardes l'info de mon paquet
org.freedesktop.Platformje vois un dernier commit le 3 septembre:`$ flatpak info org.freedesktop.Platform
Freedesktop Platform - Shared libraries
Collection: org.flathub.Stable
Installation: system
Installed: 568,7 Mo
`
Et un paquet qui a été mis à jour le 13 sur cette machine:
$ flatpak history
Time Change Application Branch Installation Remote
[...]
sept. 15 17:49:07 deploy install org.freedesktop.Platform 22.08 system flathub
Mais le merge qui contient le fix pour ce CVE n'est pas dans la branche qui a encore été distribuée sur le flathub apparemment:
https://gitlab.com/freedesktop-sdk/freedesktop-sdk/-/commit/480756bd69a32b00f093b052e256662d4b1e4708
Du coup selon moi, gnome-web/epiphany tel qu'installé sur ma silverblue est peut-être toujours vulnérable.
Quelqu'un plus proche du developpement de la Silverblue et de flathub peut m'éclairer sur ce point? J'avoue que je suis encore un peu novice avec flatpak.
[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 3.
Ah et je ne sais pas si je suis plus ou moins vulnérable avec le flatpak gnome-web fourni par Fedora ou FlatHub
[^] # Re: les navigateurs moins populaires
Posté par shbrol . Évalué à 4.
Il y a
apt changelogqui fait le job :[^] # Re: les navigateurs moins populaires
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 6.
Si le navigateur utilise la libraire en mode dynamique (
ld.so) alors un patch de la bibliothèque dynamique suffit (enfin il faut quand même redémarrer le-dit navigateur).Par contre si c’est embarqué en statique alors là oui il faut également patcher le navigateur (pour qu’il se lit à une version à jour de la bibliothèque statique webp). À mon avis, c’est comme pour libpng, c’est dynamique donc un patch du
.sode ton OS suffit.[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 3. Dernière modification le 22 septembre 2023 à 11:00.
Oui c'est bon je connais le principe _! j'ai juste pas tilté parce que justement les navigateurs principaux embarquent maintenant souvent tout dans un gros paquet et que gnome-web justement le fait toujours à la dynamique.
[^] # Re: les navigateurs moins populaires
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
Sa remarque demeure cependant pertinente : on peut avoir une appli en Go ou autre qui embarque une version de la bibliothèque. :s La question se pose aussi pour les snap/flatpack/etc où ce n’est pas la bibliothèque du système qui est utilisée… Je vais voir s’il y a des commentaires qui développent ce point.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 22 septembre 2023 à 12:23.
Tu as obtenu comment cette info?
Moi si je fais un
dnf updateinfo --cve CVE-2023-4863j'ai rien (pareil si je retire le prefixeCVE-ou si j'utilise l'option--advisory).Je ne le vois pas non plus dans
dnf history infodes entrées concernantlibwebp.Je le vois juste dans le bugzilla.
[^] # Re: les navigateurs moins populaires
Posté par Okki (site web personnel, Mastodon) . Évalué à 3.
Comme ça concernait la libwebp, j'ai fait un bête dnf changelog libwebp
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.