Bug 14007

Summary:	[upd 21] tar to 1.35
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Grigorev Andrey <survolog>
Component:	Packages from Main	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	normal
Priority:	Normal	CC:	a.proklov, pastordidi, survolog, v.potapov, y.tumanov
Version:	All	Flags:	v.potapov: qa_verified+ y.tumanov: secteam_verified+ a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
Whiteboard:
Platform:	---	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Grigorev Andrey 2023-11-03 21:24:31 MSK

Advisory: update tar to 1.35 (required by rosa2021.15).

tar 1.35-1
https://abf.io/build_lists/4813960
https://abf.io/build_lists/4813958
https://abf.io/build_lists/4813959
https://abf.io/build_lists/4813961
https://abf.io/build_lists/4813962

Comment 1 Dmitry Postnikov 2023-11-07 11:41:26 MSK

*****************************
Обновление отослано в Тестинг

Comment 2 Vladimir Potapov 2023-11-14 08:15:00 MSK

tar-1.35-1
https://abf.io/build_lists/4813960
https://abf.io/build_lists/4813958
https://abf.io/build_lists/4813959
https://abf.io/build_lists/4813961
https://abf.io/build_lists/4813962
***************************** Advisory **************************
update tar to 1.35
*****************************************************************
QA Verified

Comment 3 Yury 2023-11-14 13:36:01 MSK

Указывайте, пожалуйста, предыдущую версию пакета, с которой было поднято, чтобы хоть реактивно уязвимости к ним найти или, лучше, пишите закрытые патчами уязвимости.

Просто поднятие версии пакета - это за гранью моих компетенций. Без уязвимостей - меняя можно не добавлять.

Comment 4 Grigorev Andrey 2023-11-14 14:24:35 MSK

Насколько понял, единственная причина запроса на это обновление в rosa2021.1 - ИБ на rosa2021.15
Багов мы на rosa2021.15 не создаём, поэтому и был создан баг на rosa2021.1
Предыдущая версия tar - 1.34-2. Её всё ещё видно в сборках соответствующего проекта.
Я не знаю, возникли ли уязвимости и/или были ли они закрыты. Их определение - задача ИБ, насколько понимаю, а не сборки или QA. В связи с исходным заданием я не могу это проигнорировать, потому поставил соответствующий запрос.
Я не имею логичного права закрыть запрос на ИБ, так как это не является задачей сборки.
Быть может, у нас по-прежнему отсутствует проверка ИБ, раз она за гранью наших компетенций?

Comment 5 Aleksandr Proklov 2023-11-14 15:02:48 MSK

Юра, прогони эту новую версию tar-1.35 через скрипт, если есть CVE то выложи в этот баг, если нету - отметь флагом +

Таких багов несколько, задача была по итогам совещания поставлена.

Comment 6 Aleksandr Proklov 2023-11-14 15:03:58 MSK

Если CVE в новой версии есть, через чат уведоми меня или Андрея.

Comment 7 Yury 2023-11-21 13:49:17 MSK

secteam_verified