Does the version next to pending refer to kernel version for which the fix is released?
Sì, più precisamente, la versione accanto a "in sospeso" si riferisce alla versione del pacchetto all'interno del lignaggio in cui è inclusa la correzione.
Ci sono molti pacchetti binari dei sorgenti del kernel upstream per diverse piattaforme hardware e altri casi d'uso - "linux", "linux-mako", "linux-snapdragon", ecc. - e ci sono anche molte linee di rilascio - Ubuntu 12.04 LTS / 14.04 / etc- di tutti quei pacchetti che vengono mantenuti contemporaneamente.
Quindi potrebbe essere necessario correggere il bug a monte in più confezioni delle stesse fonti su più linee. A causa della complessità, un processo di triage viene utilizzato per condurre le classificazioni pertinenti e monitorare il lavoro. Questa pagina riporta lo stato di quel processo di triage per questo particolare bug.
Questo può essere rintracciato come segue:
-
scegli uno dei pacchetti - "linux" - e uno dei lignaggi - "Ubuntu 12.04 LTS".
La tabella indica che lo stato della correzione per quel pacchetto in quel lignaggio è "in sospeso". La versione del pacchetto che conterrà la correzione all'interno di tale linea è "3.2.0-109.150".
-
per confermare, segui il collegamento di lineage per il pacchetto- link
-
scorrere verso il basso fino alla sezione "Rilasci in Ubuntu" della pagina del pacchetto di derivazione e trovare la versione specifica della correzione, che ha una sua pagina: link
-
in quella pagina è un log delle modifiche. In quel registro delle modifiche include un riferimento al CVE (CVE-2016-5696), la particolare correzione che è stata fatta e la persona che lo ha creato
La pagina CVE è confusa perché viene automaticamente pubblicata da un modello di dati complesso che tiene traccia delle interrelazioni tra le fonti upstream e i loro pacchetti all'interno e tra i vari lignaggi. Segue un modello ottimizzato per l'autorizzazione, non necessariamente per la leggibilità.
Le classificazioni, come "DNE" o "in sospeso" si riferiscono al triage e al workflow di rilascio che segue Ubuntu. Gli stati su quella pagina sono:
- "DNE" significa che il pacchetto non esiste all'interno del lignaggio
- "ignorato" significa che l'energia non viene spesa per determinare se il problema esiste nel particolare pacchetto all'interno del lignaggio, perché il supporto è terminato per un motivo o per un altro. Si veda ad esempio il pacchetto linux-lts-quantal, nella linea LTS di Ubuntu 12.04. Il supporto per quel particolare pacchetto (un pacchetto di abilitazione hardware backported) in quel lignaggio va oltre la fine del ciclo di vita.
- "ha bisogno di triage" significa che il pacchetto all'interno del lignaggio è ancora supportato, ma è necessario del lavoro per determinare se il problema segnalato esiste effettivamente all'interno della coppia di pacchetti-lignaggio. Vedi ad esempio il pacchetto "linux-goldfish" in Ubuntu 16.10.
- "non influenzato" significa che la vulnerabilità del codice sorgente sottostante esiste nel particolare pacchetto all'interno del lignaggio, ma il triage ha determinato che, per qualche altro motivo, il problema non si verifica. Si veda ad esempio "linux-mako" in Ubuntu 16.04 LTS.
- "necessario" ovviamente significa che il triage ha determinato che il pacchetto all'interno del lignaggio è interessato, ma è comunque necessario lavorare per applicare la correzione al particolare pacchetto all'interno del lignaggio. Si veda ad esempio il pacchetto linux-armadaxp all'interno del lignaggio 12.04.
- "in sospeso" significa che è stato eseguito il lavoro necessario per applicare la correzione al particolare pacchetto all'interno del lignaggio, una versione è stata tagliata e una versione è in lavorazione.
- "rilasciato" significa che è stata rilasciata la correzione per il pacchetto all'interno del lignaggio