Posté par Psychofox (Mastodon) .
En réponse au lien the WebP 0day.
Évalué à 5.
Dernière modification le 22 septembre 2023 à 11:52.
On peut juste comme bémol reprocher une certaine opacité de la chose. D'une part parce que toute est dans un, voire plusieurs packages runtime[1], et que les libs individuelles incorporées dedans ne sont pas directement visibles via un flatpak info et encore moins dans gnome-software. D'autre part parce que flatpak history ne donne pas de détails à part un numéro de commit et son sujet associé. Du coup pour le runtime freedesktop de flathub tu dois d'abord aller sur la page de documentation de flatpak pour apprendre que le repo est sur gitlab et prendre connaissance des commits. Et si tu utilises des paquets d'un autre repo que flathub, tu dois aller chercher ailleurs la même info.
$ flatpak info org.fedoraproject.Platform
Fedora Platform - Shared libraries
ID: org.fedoraproject.Platform
Ref: runtime/org.fedoraproject.Platform/x86_64/f38
Arch: x86_64
Branch: f38
Version: 38
License: GPL-2.0-or-later
Origin: fedora
Installation: system
Installed: 2,7 Go
Commit: 0029fdbe1a68fed69147a3c6eb242c847455e1f28b4a623f6ac27e4eb93519d4
Subject: build of runtime/org.fedoraproject.Platform/x86_64/f38
Date: 2023年09月12日 20:50:56 +0000
Alt-id: 1c2b9dfb554c560bb82cb58d79f18447bd859da7d15386cbf0db83bd108b6b79
$ flatpak history
Time Change Application Branch Installation Remote
sept. 15 17:06:56 deploy update org.fedoraproject.Platform f38 system fedora
sept. 15 17:07:01 deploy update org.gnome.eog stable system fedora
sept. 15 17:07:04 deploy update org.gnome.clocks stable system fedora
sept. 15 17:07:06 deploy update org.gnome.Weather stable system fedora
sept. 15 17:07:10 deploy update org.gnome.NautilusPreviewer stable system fedora
[...]
Pas super mega parlant hein. Alors oui je sais les madames et monsieurs Michus de ce bas-monde n'ont pas forcément envie ni besoin d'en savoir plus. Mais moi quand je vois un CVE avec un 0day qui est déjà confirmé en exploitation par des gens malveillants, j'aime bien savoir rapidement et facilement quelle appli utilise quelle lib et quand elle a été mise à jour. Sur un gestionnaire de paquet traditionnel, tu n'as pas non plus un changelog mais en général ça parait plus facile de trouver qu'une version du paquet a été modifié et à quelle date. Sans avoir le détail tu sais que si la version de la lib n'a pas changé mais que la version du paquet a changé, c'est qu'un backport d'une maj de secu ou d'un gros bug génant a été réalisé.
[1] par exemple sur ma Fedora Silverblue, j'ai le runtime org.freedesktop.Platform pour des trucs installés depuis flathub mais org.fedoraproject.Platform pour ce qui vient du repo flatpak Fedora
[^] # Re: les navigateurs moins populaires
Posté par Psychofox (Mastodon) . En réponse au lien the WebP 0day. Évalué à 5. Dernière modification le 22 septembre 2023 à 11:52.
On peut juste comme bémol reprocher une certaine opacité de la chose. D'une part parce que toute est dans un, voire plusieurs packages runtime[1], et que les libs individuelles incorporées dedans ne sont pas directement visibles via un
flatpak infoet encore moins dans gnome-software. D'autre part parce queflatpak historyne donne pas de détails à part un numéro de commit et son sujet associé. Du coup pour le runtime freedesktop de flathub tu dois d'abord aller sur la page de documentation de flatpak pour apprendre que le repo est sur gitlab et prendre connaissance des commits. Et si tu utilises des paquets d'un autre repo que flathub, tu dois aller chercher ailleurs la même info.Pas super mega parlant hein. Alors oui je sais les madames et monsieurs Michus de ce bas-monde n'ont pas forcément envie ni besoin d'en savoir plus. Mais moi quand je vois un CVE avec un 0day qui est déjà confirmé en exploitation par des gens malveillants, j'aime bien savoir rapidement et facilement quelle appli utilise quelle lib et quand elle a été mise à jour. Sur un gestionnaire de paquet traditionnel, tu n'as pas non plus un changelog mais en général ça parait plus facile de trouver qu'une version du paquet a été modifié et à quelle date. Sans avoir le détail tu sais que si la version de la lib n'a pas changé mais que la version du paquet a changé, c'est qu'un backport d'une maj de secu ou d'un gros bug génant a été réalisé.
[1] par exemple sur ma Fedora Silverblue, j'ai le runtime org.freedesktop.Platform pour des trucs installés depuis flathub mais org.fedoraproject.Platform pour ce qui vient du repo flatpak Fedora