From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: ALT Linux Spring mailing list <mandrake-russian@altlinux.ru>
Subject: Re: [mdk-re] security updates
Date: Thu Jun 14 11:57:01 2001
Message-ID: <20010614120716.A24528@ldv.office.alt-linux.org> (raw)
In-Reply-To: <20010613231434.A1719@mail.unix.ru>; from yuri@unix.ru on Wed, Jun 13, 2001 at 11:14:35PM +0400
[-- Attachment #1: Type: text/plain, Size: 1996 bytes --]
On Wed, Jun 13, 2001 at 11:14:35PM +0400, Yuri Ryazantsev wrote:
> > Конкретный ответ на конкретный вопрос:
> >
> > bash - пакет из Spring не подвержен,
> > pine - пакет из Spring не подвержен,
> > glibc - пакет из Spring не подвержен,
> > cups - обновление будет завтра,
> > minicom - ошибка есть, но проблема не актуальна для Spring,
> > openssh - пакет из Spring не подвержен,
> > kdelibs - ошибка есть, но проблема практически не актуальна для Spring,
> > xmms - пакет из Spring не подвержен,
> > imap - (относительно) свежая ошибка, обновление будет завтра,
> > xinetd - свежая (и несущественная) ошибка, обновление будет сегодня.
> >
> > Кроме того, мы ведем собственный аудит и исправление пакетов в рамках
> > Castle.
>
> Спасибо за разъяснения. Пожелания:
> 1) А почему бы разработчикам не выносить выводы по собственному аудиту в
> security list? Тогда бы всем и видно было, что вы не забыли, видели и
> проанализировали ошибки в пакетах.
ok. (хотя будет непросто найти на это время)
> 2) Что значит:
> "ошибка есть, но проблема не актуальна для Spring"
В minicom есть buffer overrun. Но в дистрибутиве minicom поставляется без
sgid-to-uucp. Поэтому exploit'ить нечего.
> "ошибка есть, но проблема практически не актуальна для Spring"
Ошибка есть в программе /usr/bin/kdesu из пакета kdelibs.
При ее запуске после ввода root'ового пароля возможен т.н.
"local user exploit" (того самого пользователя, который запустил kdesu).
Поскольку механизм kdesu небезопасен в принципе, я не считаю эту ошибку
достаточно серьезной, чтобы выкладывать updates. Впрочем, тут могут быть
другие мнения.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
next prev parent reply other threads:[~2001-06-14 11:57 UTC|newest]
Thread overview: 35+ messages / expand[flat|nested] mbox.gz Atom feed top
2001-05-24 12:43 ` [mdk-re] Cyrus-imap Mikhail Zabaluev
2001-05-24 13:07 ` Yuri Ryazantsev
2001-06-12 12:47 ` Ivan Zakharyaschev
2001-06-13 16:06 ` Yuri Ryazantsev
2001-06-13 16:20 ` vic ismakaev
2001-06-13 16:26 ` Volkov Serge
2001-06-13 18:24 ` Yuri Ryazantsev
2001-06-13 17:03 ` Aleksey Novodvorsky
2001-06-13 17:05 ` Aleksey Novodvorsky
2001-06-13 17:23 ` Andriy Dobrovolskii
2001-06-13 18:43 ` Yuri Ryazantsev
2001-06-13 19:12 ` Aleksey Novodvorsky
2001-06-13 19:44 ` Yuri Ryazantsev
2001-06-13 20:01 ` Dmitry V. Levin
2001-06-14 7:35 ` Re[2]: " Russu V.F.
2001-06-13 17:19 ` Andriy Dobrovolskii
2001-06-13 18:40 ` Yuri Ryazantsev
2001-06-13 19:04 ` Dmitry V. Levin
2001-06-13 19:25 ` Aleksey Novodvorsky
2001-06-13 19:39 ` [mdk-re] security updates Dmitry V. Levin
2001-06-13 19:46 ` Yuri Ryazantsev
2001-06-13 23:17 ` Re[2]: " Maksim Otstavnov
2001-06-14 11:59 ` Dmitry V. Levin
2001-06-16 1:04 ` Lenya L. Khachaturov
2001-06-13 19:26 ` [mdk-re] Cyrus-imap Yuri Ryazantsev
2001-06-13 19:43 ` [mdk-re] security updates Dmitry V. Levin
2001-06-13 20:02 ` Yuri Ryazantsev
2001-06-13 20:37 ` Dmitry V. Levin
2001-06-13 23:05 ` Yuri Ryazantsev
2001-06-14 11:57 ` Dmitry V. Levin [this message]
2001-06-14 0:16 ` Re[2]: " Serge Skorokhodov
2001-06-14 12:07 ` Dmitry V. Levin
2001-05-24 13:01 ` [mdk-re] Cyrus-imap Yuri Ryazantsev
2001-05-24 13:21 ` vic ismakaev
2001-05-24 15:12 ` Yuri Ryazantsev
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20010614120716.A24528@ldv.office.alt-linux.org \
--to=ldv@alt-linux.org \
--cc=mandrake-russian@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git