Почему? Как раз смысл есть: те, у кого обновление включено, молча получат обновление и не будут иметь проблем, те, у кого его нет, не будут иметь проблем из-за огласки бага.
"они замалчивают баг - и правильно делают" -- это слишком сильное высказывание, моё было слабее: "их позиция понятна и правильна".
Как определить, к кому применять санкции, если сообщение было бы выложено на каком-нибудь античате или www.ispmanager-fatal-bugs.cn?
И как поступать с прямыми клиентами?
На форуме вроде было написано. На сайте да, наверно стоило сделать новость.
Вроде как автообновление в панели есть и по умолчанию включено.---------- Добавлено 13.07.2013 в 23:19 ----------
Вы переоцениваете СЕ :) Мониторить надо раздел форума ispsystem, на который я дал ссылку.
И думаете это бы сработало?
У меня почему-то полностью противоположное видение ситуации: появилась общедоступная багзилла, в которую кто угодно может отправить описание бага, и оно будет рассмотрено сразу разработчиками/тестировщиками. Да вот только за всё время существование этой багзиллы в ней завели только 26 тикетов.
Не смешите: если бы было написано "устранены мелкие баги", то все бы как всегда обсудили то, что обновления всё ломают, и никто бы не обновился.
В целом, не думаю, что было бы проще, если бы клиента вломали не через известную и исправленную уявзмимость, а через какую-нибудь 0day. Даже при обсуждении взломов с libkeyutils.so.1.9 было меньше негатива, хотя тогда все советы сводились к "мы не знаем, откуда взлом, лучше закройте ssh в firewall".
Информирование партнёров с точки зрения распространения информации об уязвимости фактически равносильно информированию конечных клиентов, так как каждый партнёр захочет проинформировать своих клиентов.
Тогда получится совсем странная ситуация -- клиенты, которые заказывают дорогие лицензии с поддержкой напрямую окажутся в худшей ситуации чем клиенты, которые заказывают дешёвые лицензии без поддержки у партнёров.
Добрый вечер!
Точка зрения разработчиков абсолютно понятна и правильна -- если уязвимость не была опубликована и осталась известна лишь узкому кругу людей, то для клиентов будет безопаснее, если к ней не будет привлечено дополнительное внимание.
Ведь даже после глобального анонса всё равно останется огромное количество необновившихся клиентов. Но уязвимость уже перейдёт из разряда слухов в разряд официально подтверждённых и "кулхакеры" начнут более тщательно искать пути её эксплуатации.
Сообщение об этой уязвимости уже было опубликовано (в том числе на СЕ, но почему-то почти не вызвало обсуждения в той ветке), и мы решили предупредить клиентов.
Если посмотреть форум ISPsystem, то можно увидеть, что проблемы периодически находятся, и ISPsystem не стесняются выкладывать в паблик факты нахождения проблем. Так что "грамотный аналитик" может мониторить указанный раздел форума и обновлять продукты, когда выходит следующая после очередного поста версия.
Я уверен почти на 100%, что в остальных продуктах уязвимости находятся не реже, но рассылка происходит только если уязвимость уже утекла в паблик до исправления на большинстве инсталляций. Попытки найти какую-либо корреляцию между ценой/страной производителя/прочими показателями и анонсом в паблик выглядят глупо.
то-то все используют centos? вброс
Можно даже не в двух:
http://dev.mysql.com/doc/refman/5.1/en/mysql-cluster-limitations.html
Некоторые ограничения не абстрактные (особенно из первого пункта), а могут действительно мешать.
Возможно, если таблицы простые и маленькие, то этим можно не заморачиваться.
Голосую за первый вариант.
Синхронизировать через drbd не вариант, так как могут крешиться таблицы.
Получать ограничения и трудности mysqlcluster когда без них можно обойтись тоже не нужно.
Понятно, не знал.
