From: "Dmitry V. Levin" <ldv@alt-linux.org> To: ALT Linux Spring mailing list <mandrake-russian@altlinux.ru> Subject: Re: [mdk-re] security updates Date: Thu Jun 14 11:57:01 2001 Message-ID: <20010614120716.A24528@ldv.office.alt-linux.org> (raw) In-Reply-To: <20010613231434.A1719@mail.unix.ru>; from yuri@unix.ru on Wed, Jun 13, 2001 at 11:14:35PM +0400 [-- Attachment #1: Type: text/plain, Size: 1996 bytes --] On Wed, Jun 13, 2001 at 11:14:35PM +0400, Yuri Ryazantsev wrote: > > Конкретный ответ на конкретный вопрос: > > > > bash - пакет из Spring не подвержен, > > pine - пакет из Spring не подвержен, > > glibc - пакет из Spring не подвержен, > > cups - обновление будет завтра, > > minicom - ошибка есть, но проблема не актуальна для Spring, > > openssh - пакет из Spring не подвержен, > > kdelibs - ошибка есть, но проблема практически не актуальна для Spring, > > xmms - пакет из Spring не подвержен, > > imap - (относительно) свежая ошибка, обновление будет завтра, > > xinetd - свежая (и несущественная) ошибка, обновление будет сегодня. > > > > Кроме того, мы ведем собственный аудит и исправление пакетов в рамках > > Castle. > > Спасибо за разъяснения. Пожелания: > 1) А почему бы разработчикам не выносить выводы по собственному аудиту в > security list? Тогда бы всем и видно было, что вы не забыли, видели и > проанализировали ошибки в пакетах. ok. (хотя будет непросто найти на это время) > 2) Что значит: > "ошибка есть, но проблема не актуальна для Spring" В minicom есть buffer overrun. Но в дистрибутиве minicom поставляется без sgid-to-uucp. Поэтому exploit'ить нечего. > "ошибка есть, но проблема практически не актуальна для Spring" Ошибка есть в программе /usr/bin/kdesu из пакета kdelibs. При ее запуске после ввода root'ового пароля возможен т.н. "local user exploit" (того самого пользователя, который запустил kdesu). Поскольку механизм kdesu небезопасен в принципе, я не считаю эту ошибку достаточно серьезной, чтобы выкладывать updates. Впрочем, тут могут быть другие мнения. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.ru/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
next prev parent reply other threads:[~2001-06-14 11:57 UTC|newest] Thread overview: 35+ messages / expand[flat|nested] mbox.gz Atom feed top 2001-05-24 12:43 ` [mdk-re] Cyrus-imap Mikhail Zabaluev 2001-05-24 13:07 ` Yuri Ryazantsev 2001-06-12 12:47 ` Ivan Zakharyaschev 2001-06-13 16:06 ` Yuri Ryazantsev 2001-06-13 16:20 ` vic ismakaev 2001-06-13 16:26 ` Volkov Serge 2001-06-13 18:24 ` Yuri Ryazantsev 2001-06-13 17:03 ` Aleksey Novodvorsky 2001-06-13 17:05 ` Aleksey Novodvorsky 2001-06-13 17:23 ` Andriy Dobrovolskii 2001-06-13 18:43 ` Yuri Ryazantsev 2001-06-13 19:12 ` Aleksey Novodvorsky 2001-06-13 19:44 ` Yuri Ryazantsev 2001-06-13 20:01 ` Dmitry V. Levin 2001-06-14 7:35 ` Re[2]: " Russu V.F. 2001-06-13 17:19 ` Andriy Dobrovolskii 2001-06-13 18:40 ` Yuri Ryazantsev 2001-06-13 19:04 ` Dmitry V. Levin 2001-06-13 19:25 ` Aleksey Novodvorsky 2001-06-13 19:39 ` [mdk-re] security updates Dmitry V. Levin 2001-06-13 19:46 ` Yuri Ryazantsev 2001-06-13 23:17 ` Re[2]: " Maksim Otstavnov 2001-06-14 11:59 ` Dmitry V. Levin 2001-06-16 1:04 ` Lenya L. Khachaturov 2001-06-13 19:26 ` [mdk-re] Cyrus-imap Yuri Ryazantsev 2001-06-13 19:43 ` [mdk-re] security updates Dmitry V. Levin 2001-06-13 20:02 ` Yuri Ryazantsev 2001-06-13 20:37 ` Dmitry V. Levin 2001-06-13 23:05 ` Yuri Ryazantsev 2001-06-14 11:57 ` Dmitry V. Levin [this message] 2001-06-14 0:16 ` Re[2]: " Serge Skorokhodov 2001-06-14 12:07 ` Dmitry V. Levin 2001-05-24 13:01 ` [mdk-re] Cyrus-imap Yuri Ryazantsev 2001-05-24 13:21 ` vic ismakaev 2001-05-24 15:12 ` Yuri Ryazantsev
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20010614120716.A24528@ldv.office.alt-linux.org \ --to=ldv@alt-linux.org \ --cc=mandrake-russian@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git