From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Dmitry V. Levin" To: ALT Linux Spring mailing list Subject: Re: [mdk-re] security updates Message-ID: <20010614120716.A24528@ldv.office.alt-linux.org> Mail-Followup-To: "Dmitry V. Levin" , ALT Linux Spring mailing list References: <20010613161534.B7461@mail.unix.ru> <20010613171636.65cc1c61.aen@altlinux.ru> <20010613184946.E7461@mail.unix.ru> <20010613191441.D6509@ldv.office.alt-linux.org> <20010613193524.H7461@mail.unix.ru> <20010613195345.F6509@ldv.office.alt-linux.org> <20010613201159.K7461@mail.unix.ru> <20010613204720.D6900@ldv.office.alt-linux.org> <20010613231434.A1719@mail.unix.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="k+w/mQv8wyuph6w0" Content-Disposition: inline In-Reply-To: <20010613231434.A1719@mail.unix.ru>; from yuri@unix.ru on Wed, Jun 13, 2001 at 11:14:35PM +0400 X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Thu Jun 14 11:57:01 2001 X-Original-Date: Thu, 14 Jun 2001 12:07:16 +0400 Archived-At: List-Archive: List-Post: --k+w/mQv8wyuph6w0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Wed, Jun 13, 2001 at 11:14:35PM +0400, Yuri Ryazantsev wrote: > > Конкретный ответ на конкретный вопрос: > > > > bash - пакет из Spring не подвержен, > > pine - пакет из Spring не подвержен, > > glibc - пакет из Spring не подвержен, > > cups - обновление будет завтра, > > minicom - ошибка есть, но проблема не актуальна для Spring, > > openssh - пакет из Spring не подвержен, > > kdelibs - ошибка есть, но проблема практически не актуальна для Spring, > > xmms - пакет из Spring не подвержен, > > imap - (относительно) свежая ошибка, обновление будет завтра, > > xinetd - свежая (и несущественная) ошибка, обновление будет сегодня. > > > > Кроме того, мы ведем собственный аудит и исправление пакетов в рамках > > Castle. > > Спасибо за разъяснения. Пожелания: > 1) А почему бы разработчикам не выносить выводы по собственному аудиту в > security list? Тогда бы всем и видно было, что вы не забыли, видели и > проанализировали ошибки в пакетах. ok. (хотя будет непросто найти на это время) > 2) Что значит: > "ошибка есть, но проблема не актуальна для Spring" В minicom есть buffer overrun. Но в дистрибутиве minicom поставляется без sgid-to-uucp. Поэтому exploit'ить нечего. > "ошибка есть, но проблема практически не актуальна для Spring" Ошибка есть в программе /usr/bin/kdesu из пакета kdelibs. При ее запуске после ввода root'ового пароля возможен т.н. "local user exploit" (того самого пользователя, который запустил kdesu). Поскольку механизм kdesu небезопасен в принципе, я не считаю эту ошибку достаточно серьезной, чтобы выкладывать updates. Впрочем, тут могут быть другие мнения. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.ru/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. --k+w/mQv8wyuph6w0 Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE7KHC09viEa8HiNCkRAnhpAJ9y9W/Q45X/HxEJ9tnRCMN5HPBxJgCcDkei 2i+gbR+i7VeNIhpR5ADc/Ak= =xhT1 -----END PGP SIGNATURE----- --k+w/mQv8wyuph6w0--