PHP中的安全修复究竟是如何影响用户的呢？

Question

我想了解从安全bug报告到正在运行的系统应用bug修复的过程。特别是从bug公开到错误被修复到运行系统需要多长时间。我听说一个漏洞公诸于众只需要一个小时，直到黑客利用漏洞攻击运行中的系统。

让我们以PHP为例，debian (服务器版本)是运行PHP内容的操作系统。

首先，我认为该bug是首先向bugs.php.net报告的，并被标记为安全漏洞，因此它不是公开的。

然后PHP团队的人会创建一个bug修复程序。

但我不知道更多了。可能是错误修复应用于私有安全存储库。但我不确定。请参阅undefined

接下来会发生什么？debian包维护人员在补丁公开之前就得到了修复吗？这样他们就可以在黑客知道漏洞之前应用它了？

在修补程序在apt存储库中可用之前，bug需要多长时间才能公开呢？

直到debian自动下载修复程序(新的apt包)还需要多少时间？有可能得到实时更新吗？

Answer 1

对于所有上游项目和所有Linux发行版，这是相当多的问题，并不是所有的问题都有相同的答案。

接下来会发生什么？debian包维护人员在补丁公开之前就得到了修复吗？

如果您的发行版足够重要，并且您可以被信任，您可能会在补丁发布之前收到通知，这样您就可以准备固定的包了。Debian可能有高影响bug的特权，一些较小的发行版没有它。

这样他们就可以在黑客知道漏洞之前应用它了？

这就是我的想法。当然，你以前从来不知道谁知道这个虫子。

在修补程序在apt存储库中可用之前，bug需要多长时间才能公开呢？

同样地，这取决于分发和维护人员以及他们是如何获得信息的。有了负责任的披露(在公众被告知之前的信息)，它将非常接近于公开发布。否则，维护人员可能在正确的邮件列表上获得通知，并将很快准备更新。这取决于他们维持包裹的时间。

直到debian自动下载修复程序(新的apt包)还需要多少时间？

这取决于您的配置和您正在使用的镜像。对于重要的安全修复，有一些镜像在修复可用后会快速更新(这就是为什么有一条用于安全更新的行与您的apt/sources.list中通常的包的行不同)，而对于其他的镜像，可能需要一天的时间才能获取更新的包。

然后，安装需要更新包列表并安装修复程序。这种情况可能会自动发生(通常一天最多一次)，甚至手动发生。如果您的管理员读取了正确的安全邮件列表和IT新闻，他们将知道有一个修复和手动刷新包列表和更新受影响的包。

有可能得到实时更新吗？

更新始终是一种获取机制。首先检查是否有更新，然后安装更新。所以没有什么是“实时”的。但是打包更新并上传它也不完全是“实时”的。