From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 17 Sep 2003 19:25:25 +0400 From: =?KOI8-R?Q?=E4=CD=C9=D4=D2=C9=CA_=E7=C5=D2=C1=D3=C9=CD=CF=D7?= To: ALT Devel discussion list Subject: Re: [devel] =?KOI8-R?Q?=EF=DB=C9=C2=CB=C1_=D7_=D2=C1=C2=CF=D4=C5_?= =?KOI8-R?Q?=D3_=C2=D5=C6=C5=D2=CF=CD_=D7?= OpenSSH Message-Id: <20030917192525.47220486.matrix@podlipki.ru> In-Reply-To: <20030917125645.GA22269@basalt.office.altlinux.org> References: <3F68429B.7000608@altlinux.ru> <20030917115639.GA31946@gate.polarcup.ru> <20030917125645.GA22269@basalt.office.altlinux.org> X-Mailer: Sylpheed version 0.9.2 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 17 Sep 2003 15:19:12 -0000 Archived-At: List-Archive: List-Post: On Wed, 17 Sep 2003 16:56:45 +0400 "Dmitry V. Levin" wrote: > On Wed, Sep 17, 2003 at 03:56:39PM +0400, Gerasimov Dmitry wrote: > > On Wed, Sep 17, 2003 at 02:16:43PM +0300, Andy Gorev wrote: > > > Ошибка в работе с буфером в OpenSSH > [...] > > по этому поводу _сегодня_ уже был security update. Но, что напрягло, уже > > проскакивало сообщение о еще одной найденной ошибке. > > http://www.securitylab.ru/?ID=40300 > > Можно расслабиться. > Мало ли где что ещё напишут. > > $ rpmquery --lastchange openssh |sed -e 's/@[^>]*>/@>/g' |grep -v '^$' > * Wed Sep 17 2003 Dmitry V. Levin 3.6.1p2-alt4 > - Included the buffer and channels memory reallocation fixes from > http://www.openssh.com/txt/buffer.adv (2nd revision). > - Reviewed all uses of *realloc(), resulting in four more fixes > of this nature (Owl). > - Corrected startup script to honor $EXTRAOPTIONS in check mode too. > > Предыдущее (-alt3) и эти изменения исправляют ошибки, которые, насколько я > понимаю, благодаря технологии PrivilegeSeparation в худшем случае могут > привести к возможности исполнения кода с правами псевдопользователя в > пустом чруте. К тому же что ещё и не известно, могут ли. вот. это и хотелось услышать. спасибо, теперь буду спать спокойно :-).. > > > -- > ldv > -- %s