#39314 – Пакет openssl скрывает свой апстрим от роботов

Bug 39314 - Пакет openssl скрывает свой апстрим от роботов

Summary: Пакет openssl скрывает свой апстрим от роботов

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	openssl (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Gleb F-Malinovskiy
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2020-11-18 21:03 MSK by Vitaly Lipatov
Modified:	2020-11-19 18:58 MSK (History)
CC List:	2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Vitaly Lipatov 2020-11-18 21:03:00 MSK

В репозитории есть пустой фиктивный .gear/tags/list

В спеке указана ссылка на местный git с предыдущей версией
# git://git.altlinux.org/gears/o/openssl10.git
Source: openssl-%version.tar

При всём этом сборка происходит с исходниками из тарбола, которые неизвестно где берутся, куда-то коммиттятся и откуда-то мержатся:

Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
Date:   Tue Apr 21 16:23:35 2020 +0300

    1.1.1g-alt1
    
    - Updated to 1.1.1g (fixes CVE-2019-1551, CVE-2020-1967).

commit d0bcb9408ae2ae9965918af3b3a8bc1ef3303179
Merge: ce9bc58d f48497bc
Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
Date:   Tue Apr 21 16:20:40 2020 +0300

    Merge tag 'v1.1.1g'
    
    openssl 1.1.1g

commit f48497bcbf99b7d62e695570d573a18bab52bee1
Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
Date:   Tue Apr 21 16:19:39 2020 +0300

    Import https://openssl.org/source/openssl-1.1.1g.tar.gz
    
    Major changes between OpenSSL 1.1.1f and OpenSSL 1.1.1g [21 Apr 2020]
    - Fixed segmentation fault in SSL_check_chain() (CVE-2020-1967)

Comment 1 Michael Shigorin 2020-11-19 11:40:43 MSK

А роботы хотели собрать 1.1.1h? :)

Comment 2 Gleb F-Malinovskiy 2020-11-19 16:56:51 MSK

(Ответ для Vitaly Lipatov на комментарий #0)
> В репозитории есть пустой фиктивный .gear/tags/list
> 
> В спеке указана ссылка на местный git с предыдущей версией
> # git://git.altlinux.org/gears/o/openssl10.git

Это, конечно ошибка.

> Source: openssl-%version.tar

> При всём этом сборка происходит с исходниками из тарбола, которые неизвестно
> где берутся, куда-то коммиттятся и откуда-то мержатся:

Но при этом довольно странно, что вы утверждаете это, а потом ...
 
> Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
> Date:   Tue Apr 21 16:23:35 2020 +0300
> 
>     1.1.1g-alt1
>     
>     - Updated to 1.1.1g (fixes CVE-2019-1551, CVE-2020-1967).
> 
> commit d0bcb9408ae2ae9965918af3b3a8bc1ef3303179
> Merge: ce9bc58d f48497bc
> Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
> Date:   Tue Apr 21 16:20:40 2020 +0300
> 
>     Merge tag 'v1.1.1g'
>     
>     openssl 1.1.1g
> 
> commit f48497bcbf99b7d62e695570d573a18bab52bee1
> Author: Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org>
> Date:   Tue Apr 21 16:19:39 2020 +0300
> 
>     Import https://openssl.org/source/openssl-1.1.1g.tar.gz

... цитируете ссылку на тарболл.

>     Major changes between OpenSSL 1.1.1f and OpenSSL 1.1.1g [21 Apr 2020]
>     - Fixed segmentation fault in SSL_check_chain() (CVE-2020-1967)

Помимо прочего, в этой цитате показано что и куда коммитилось и мержилось.

Comment 3 Vitaly Lipatov 2020-11-19 18:58:54 MSK

(Ответ для Gleb F-Malinovskiy на комментарий #2)
...
> > При всём этом сборка происходит с исходниками из тарбола, которые неизвестно
> > где берутся, куда-то коммиттятся и откуда-то мержатся:
> 
> Но при этом довольно странно, что вы утверждаете это, а потом ...
>  
... 
> Помимо прочего, в этой цитате показано что и куда коммитилось и мержилось.
Это я уже потом туда залез. Но повторить это невозможно, тем более роботу.

Зачем сначала импортировать тарбол, потом его мержить, а потом делать
tar: openssl
в rules
и хранить отдельно патчи?

Или это такой способ вести историю апстримных тарболов в отдельной чистой ветке?
Тогда хочется узнать, почему же не забрать апстримный git?