<div dir="ltr"><div>Yes, my interest is in patches for openstack modules.</div><div>We use the EPEL repos.</div><div><br></div><div>"<span style="font-family:arial,sans-serif;font-size:16.363636016845703px">pick say the last two dozen CVEs and then research</span></div>
<span style="font-family:arial,sans-serif;font-size:16.363636016845703px">when they were fixed in each distribution and compare and you'll have</span><br style="font-family:arial,sans-serif;font-size:16.363636016845703px">
<span style="font-family:arial,sans-serif;font-size:16.363636016845703px">your answer."</span><div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px"><br></span></font></div><div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px">Was that advice tounge-in-cheek? ;)</span></font></div>
<div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px"><br></span></font></div><div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px">I picked one, and spent an hour looking for decent sources.  </span></font></div>
<div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px">I'm looking for either archive or CSV format that includes both the patch release date and the CVE.</span></font></div><div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px"><br>
</span></font></div><div><font face="arial, sans-serif"><span style="font-size:16.363636016845703px">I picked </span></font>CVE-2014-0162<div><br></div><div>I was hoping someone had already done the work for me like this analysis of rhel variants:</div>
<div>Lag for centos behind rhel patch releases</div><div><a href="http://bitrate.epipe.com/rhel-vs-centos-scientific-oracle-linux-6_187" target="_blank">http://bitrate.epipe.com/rhel-vs-centos-scientific-oracle-linux-6_187</a><br>

</div><div><br></div><div>Comparing centos to ubuntu is problematic since the centos announce list does not include the CVE or bug description.</div><div><br></div><div>Ubuntu has archives here</div><div><a href="http://people.canonical.com/~ubuntu-security/cve/">http://people.canonical.com/~ubuntu-security/cve/</a><br>
</div><div>But the bug i picked wasn't there.</div><div><br></div><div>I had to google around to find it here.</div><div><a href="http://www.ubuntuupdates.org/package/core/saucy/main/updates/glance">http://www.ubuntuupdates.org/package/core/saucy/main/updates/glance</a><br>
</div><div><br></div><div><br></div><div>debian has bundled files, with CVE's but no dates, only release numbers</div><div><a href="https://security-tracker.debian.org/tracker/" target="_blank">https://security-tracker.debian.org/tracker/</a></div>
<div><br></div><div>I was only able to find nice stats with everything i needed for Redhat.</div><div><a href="http://www.redhat.com/security/data/metrics/">http://www.redhat.com/security/data/metrics/</a></div></div><div>
<br></div><div>If i'm missing any links to make this info more accessible please let me know.</div><div>Otherwise, 2 dozen comparisons might take a day or two.</div><div><br></div><div>kesten</div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Sun, Jun 1, 2014 at 1:36 PM, Kurt Seifried <span dir="ltr"><<a href="mailto:kseifried@redhat.com" target="_blank">kseifried@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<div class=""><br>
On 06/01/2014 12:01 PM, kesten broughton wrote:<br>
> Is there any difference in the rate at which security patches get<br>
> applied between os's.  In particular, i'm trying to compare centos<br>
> 6.5 vs ubuntu 14.04.<br>
><br>
> What is the process through which security-only patches get passed<br>
> on to production deployments of openstack.<br>
><br>
> Is there a difference in the amount of coverage testing for<br>
> security services between os's?<br>
><br>
> kesten<br>
><br>
><br>
<br>
</div>Are you talking about security patches to OpenStack itself? I assume<br>
you're not talking about the underlying operating system. Any ways if<br>
this is OpenStack specific then my next question would be:<br>
<br>
how did you install OpenStack on CentOS/Ubuntu? For CentOS your<br>
choices would be<br>
<br>
- From upstream source<br>
- From EPEL<br>
- From RDO<br>
- From something else?<br>
<br>
All of which of course have different patching schedules/rates. My<br>
advice would be to pick say the last two dozen CVEs and then research<br>
when they were fixed in each distribution and compare and you'll have<br>
your answer.<br>
<br>
- --<br>
Kurt Seifried - Red Hat - Product Security - Cloud stuff and such<br>
PGP: 0x5E267993 A90B F995 7350 148F 66BF 7554 160D 4553 5E26 7993<br>
<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1<br>
<br>
iQIcBAEBAgAGBQJTi3LIAAoJEBYNRVNeJnmT+hEQANOCLOKvZPxAOKUuFLByJ1kR<br>
sexTlmdayf7oIrTalJcncoG3nh8AbSahRE82X8ijVXMGTqB3kdN1MSBg/V2r7M2b<br>
+D4ErmQ41KkvmKgduIpsn356ExP+Rpas3CcvIJjU2KaD423o+kzDhjqtEqab1Bqb<br>
smRMEgsQ2PCENCiRMnqPkwAdi8odUAb0LeTyAAqJvn6a2uCZznnVDCI53+Camx1/<br>
DMNpfiZXaLdmlOeyTJl8qYnunfTvXvRPqH5u1n6pCGy/lz6Pmsr0Sarx474HIfDg<br>
orz/S22HFptf/moYPx009nav1E1ItfzdvkwZ5ZdczzhKQMHfLaoYjQkhwl8FuAXg<br>
JAwYR2n1pajF5LgkUm6w0XbfkmpDXRVUo+dgIkn5MiYaY2NfD28p8bZ/WPOupDku<br>
knz6trH2VvmMlwvnPe/aDH6sHO2G1OQxD1uWNu+TWcp2ktGnCnoba9DN8Awl7dc6<br>
aHY3EpTfTDKJhiKdGIcBwO5soR9DwyokLYtFsYMkRoOXEoh+TtfPCEgIx/hti7X6<br>
T1aX76fyRxCzk/UmXUmqmZYeQLI0xHmVMQx5DFEjrPJLu3Ae0/Iy9UhzBgyzDt9Y<br>
b6B3WOdY7ZYCG3FeBl9MQ+/qBJWddzqtE8nHJRQ5971hABNEz+MH5HYnN0Envvs7<br>
cNUqZIPTqqNjLtU0B0lK<br>
=wn/M<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div><br></div>