Почему Ubuntu не фиксит уязвимость в RoundCube с октября?

Question

[Ярослав]

Может быть я что-то не понимаю, но вот не могу разобраться (у меня дебианы везде, но есть сиротка убунта). Есть уязвимость и она даже в убунтовском трекере отслеживается: https://ubuntu.com/security/CVE-2023-5631

Судя по этой статье - уязвимость реальная, ей взламывают:
https://www.helpnetsecurity.com/2023/10/25/roundcu...

RoundCube ее пофиксили:
https://roundcube.net/news/2023/10/16/security-upd...
https://roundcube.net/news/2023/10/16/security-upd...

В Debian трекере видно, что уязвимость исправлена в security апдейтах:
https://security-tracker.debian.org/tracker/CVE-20...

Пакет очень популярный, дырка признана вроде бы, фикс есть, в других дебиан-подобных дистрибах (самом дебиане) - пофикшена...

Я правильно понимаю, что для Ubuntu исправленного пакета до сих пор нет (аж 3 месяца уже прошло)? Почему так может быть, и что делать? Или есть, но я не вижу?

На этой убунте у меня Ubuntu 20.04.3 LTS (focal) и пакеты:

roundcube / roundcube-core / roundcube-mysql все имеют версию 1.4.3+dfsg.1-1

Comments

[Everything_is_bad]

так может стоит задать этот вопрос им?

[Ярослав]

Everything_is_bad, не знаю. Пока что я вообще не уверен в ситуации - мне не верится, что большая дырка для которой есть патч может сверкать уже целый квартал. Думаю, что может быть это я что-то упускаю, путаю...

[pred8or]

Приоритет назначен не слишком высокий, убунта уже довольно старая (какой там для неё срок поддержки?), версия пакета тоже не сказать чтобы сильно свежая. Так что если нет кого-то кому эту тему реально двигать, им там есть чем заниматься.

К слову сказать, у меня есть опыт общения с ними насчёт пакета bind9-ldap (или что-то в этом роде). Ситуация в том, что он очень сильно завязан на номер версии основного пакета, а автоматической его сборки не было. В результате, когда он мне понадобился, я просто банально не сумел его установить. Ситуация осложнялась тем что лицензия на него немного другая, чем на основной пакет. Но ничего, педалирование этой темы везде ситуацию подвинуло. И пакет включили в автоматическую сборку, и с лицензией урегиулировали

[pfg21]

пинай мейнтейнера
ибо пакеты обновлены примерно так.

Пакет roundcube-core
focal (20.04LTS) (web):  1.4.3+dfsg.1-1: all
jammy (22.04LTS) (web):  1.5.0+dfsg.1-2: all
lunar (23.04) (web):     1.6.1+dfsg-1ubuntu1: all
mantic (23.10) (web):    1.6.2+dfsg-1: all
noble (web):             1.6.6+dfsg-1: all

[d'Ivan]

Обратился не по адресу. На этот вопрос нельзя дать однозначный ответ.

[CityCat4]

Потому что, Ярославище, твоя бубунта была выпущена в 21 году и видимо нет желающих заниматься именно этим дистрибом. Это же ведь не просто так - это нужно иметь машину с дистрибом, запатчить пакет, проверить, что не сломалось ничего...
Тут либо обновлять версию - либо патчить самому :)

[Ярослав]

CityCat4, так это LTSная версия, должна поддерживаться. Ну и для других версий, посвежее, тоже нету. Как-то это странненько... будто забили на уязвимость.

[CityCat4]

Ярослав, Да может и забили...

[shurshur]

Ярослав, сайты на php в целом нет смысла из системных пакетов ставить. Лучше самому разворачивать нужную версию.