* [devel] sec Updates for 2.x
@ 2003-10-09 8:55 Marat Khairullin
2003-10-09 9:08 ` Dmitry V. Levin
2003-10-09 9:49 ` [devel] " Denis Ovsienko
0 siblings, 2 replies; 8+ messages in thread
From: Marat Khairullin @ 2003-10-09 8:55 UTC (permalink / raw)
To: devel
Будут ли обновления для ALTM2.2 и, особенно, Утес (2.0)?
http://www.linuxsecurity.com/advisories/debian_advisory-3618.html
Package : xfree86
Vulnerability : buffer overflows, denial of service
Problem-Type : remote
Debian-specific: no
CVE Ids : CAN-2003-0063 CAN-2003-0071 CAN-2002-0164 CAN-2003-0730
PACKAGE : gtkhtml
http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html
PACKAGE : stunnel
http://www.linuxsecurity.com/advisories/connectiva_advisory-3603.html
PACKAGE : php4
http://www.linuxsecurity.com/advisories/connectiva_advisory-3684.html
PACKAGE : gdm
http://www.linuxsecurity.com/advisories/connectiva_advisory-3591.html
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] sec Updates for 2.x
2003-10-09 8:55 [devel] sec Updates for 2.x Marat Khairullin
@ 2003-10-09 9:08 ` Dmitry V. Levin
2003-10-09 9:27 ` Marat Khairullin
2003-10-09 9:49 ` [devel] " Denis Ovsienko
1 sibling, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09 9:08 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1150 bytes --]
On Thu, Oct 09, 2003 at 12:55:56PM +0400, Marat Khairullin wrote:
> Будут ли обновления для ALTM2.2 и, особенно, Утес (2.0)?
См. тж.
http://www.altlinux.ru/pipermail/security-announce/2003-September/000091.html
> http://www.linuxsecurity.com/advisories/debian_advisory-3618.html
> Package : xfree86
> Vulnerability : buffer overflows, denial of service
> Problem-Type : remote
> Debian-specific: no
> CVE Ids : CAN-2003-0063 CAN-2003-0071 CAN-2002-0164 CAN-2003-0730
pending, maintainer xfree86 анализирует.
> PACKAGE : gtkhtml
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html
не будет, maintainer gtkhtml не проявил интереса.
> PACKAGE : stunnel
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3603.html
http://www.altlinux.ru/pipermail/security-announce/2003-August/000082.html
> PACKAGE : php4
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3684.html
maintainer php4 проанализировал и не нашёл предмета для исправления.
> PACKAGE : gdm
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3591.html
maintainer gdm исправил и готовит анонс.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] sec Updates for 2.x
2003-10-09 9:08 ` Dmitry V. Levin
@ 2003-10-09 9:27 ` Marat Khairullin
2003-10-09 9:34 ` Dmitry V. Levin
0 siblings, 1 reply; 8+ messages in thread
From: Marat Khairullin @ 2003-10-09 9:27 UTC (permalink / raw)
To: ALT Devel discussion list
On Thu, 9 Oct 2003 13:08:03 +0400
"Dmitry V. Levin" <ldv@altlinux.org> wrote:
> > PACKAGE : gtkhtml
> > http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html
>
> не будет, maintainer gtkhtml не проявил интереса.
Решение об исправлении зависит только от личной заинтересованности maintainerа?
Это нормально? Стоит ли тогда покупать Утес? По условиям сертификации я не могу
сам собирать новые версии пакетов - только с сайта разработчика...
>>http://www.linuxsecurity.com/advisories/turbolinux_advisory-3580.html
>> An attacker could use this vulnerability to execute embedded scripts within
>> the context of the generated page.
> maintainer php4 проанализировал и не нашёл предмета для исправления.
???
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] sec Updates for 2.x
2003-10-09 9:27 ` Marat Khairullin
@ 2003-10-09 9:34 ` Dmitry V. Levin
2003-10-09 10:35 ` [devel] " Alexey Tourbin
0 siblings, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09 9:34 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1017 bytes --]
On Thu, Oct 09, 2003 at 01:27:35PM +0400, Marat Khairullin wrote:
> On Thu, 9 Oct 2003 13:08:03 +0400 Dmitry V. Levin wrote:
>
> > > PACKAGE : gtkhtml
> > > http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html
> >
> > не будет, maintainer gtkhtml не проявил интереса.
>
> Решение об исправлении зависит только от личной заинтересованности maintainerа?
Конечно.
С другой стороны, от исправляемости зависит, попадёт ли пакет в очередной
дистрибутив.
> Это нормально? Стоит ли тогда покупать Утес? По условиям сертификации я не могу
> сам собирать новые версии пакетов - только с сайта разработчика...
Не пользуйтесь gtkhtml'ем. Совсем.
> >>http://www.linuxsecurity.com/advisories/turbolinux_advisory-3580.html
> >> An attacker could use this vulnerability to execute embedded scripts within
> >> the context of the generated page.
>
> > maintainer php4 проанализировал и не нашёл предмета для исправления.
>
> ???
Спросите у maintainer'а. Скорее всего, php бывают разные.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] sec Updates for 2.x
2003-10-09 9:49 ` [devel] " Denis Ovsienko
@ 2003-10-09 9:45 ` Dmitry V. Levin
0 siblings, 0 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09 9:45 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 511 bytes --]
On Thu, Oct 09, 2003 at 12:49:37PM +0300, Denis Ovsienko wrote:
> Да, кстати, вот цитата от 17.09:
>
> gdm: CAN-2003-054{7..9}
> XFree86: CAN-2003-0730
> sane: CAN-2003-077{3..8}
> MySQL: CAN-2003-0780
> По независящим от ALT Security Team причинам организационного характера
> выпуск этих и других обновлений задерживается.
>
> Забыли либо проанонсировать, либо выпустить пакеты.
Не думаю, что забыли. Скорее всего, причины не исчезли и обновления
продолжают задерживаться. Спрашивайте на org@.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] sec Updates for 2.x
2003-10-09 8:55 [devel] sec Updates for 2.x Marat Khairullin
2003-10-09 9:08 ` Dmitry V. Levin
@ 2003-10-09 9:49 ` Denis Ovsienko
2003-10-09 9:45 ` Dmitry V. Levin
1 sibling, 1 reply; 8+ messages in thread
From: Denis Ovsienko @ 2003-10-09 9:49 UTC (permalink / raw)
To: ALT Devel discussion list
Да, кстати, вот цитата от 17.09:
gdm: CAN-2003-054{7..9}
XFree86: CAN-2003-0730
sane: CAN-2003-077{3..8}
MySQL: CAN-2003-0780
По независящим от ALT Security Team причинам организационного характера
выпуск этих и других обновлений задерживается.
Забыли либо проанонсировать, либо выпустить пакеты.
--
DO4-UANIC
^ permalink raw reply [flat|nested] 8+ messages in thread
* [devel] Re: sec Updates for 2.x
2003-10-09 9:34 ` Dmitry V. Levin
@ 2003-10-09 10:35 ` Alexey Tourbin
2003-10-09 10:41 ` Dmitry V. Levin
0 siblings, 1 reply; 8+ messages in thread
From: Alexey Tourbin @ 2003-10-09 10:35 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 504 bytes --]
On Thu, Oct 09, 2003 at 01:34:39PM +0400, Dmitry V. Levin wrote:
> > Решение об исправлении зависит только от личной заинтересованности maintainerа?
>
> Конечно.
>
> С другой стороны, от исправляемости зависит, попадёт ли пакет в очередной
> дистрибутив.
Думаю, что нужно подготовить policy с требованиями по выпуску security
updates, в котором описаны правила взаимодействия maintainer'ов и ALT
Security Team. Узнавать задним числом о "личной (не)заинтересованности
maintainer'а" как-то несерьезно.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Re: sec Updates for 2.x
2003-10-09 10:35 ` [devel] " Alexey Tourbin
@ 2003-10-09 10:41 ` Dmitry V. Levin
0 siblings, 0 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09 10:41 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 665 bytes --]
On Thu, Oct 09, 2003 at 02:35:13PM +0400, Alexey Tourbin wrote:
> On Thu, Oct 09, 2003 at 01:34:39PM +0400, Dmitry V. Levin wrote:
> > > Решение об исправлении зависит только от личной заинтересованности maintainerа?
> >
> > Конечно.
> >
> > С другой стороны, от исправляемости зависит, попадёт ли пакет в очередной
> > дистрибутив.
>
> Думаю, что нужно подготовить policy с требованиями по выпуску security
> updates, в котором описаны правила взаимодействия maintainer'ов и ALT
> Security Team.
Я тоже так думаю.
> Узнавать задним числом о "личной (не)заинтересованности
> maintainer'а" как-то несерьезно.
А для ALT Security Team ещё и неприятно.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2003-10-09 10:41 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-10-09 8:55 [devel] sec Updates for 2.x Marat Khairullin
2003-10-09 9:08 ` Dmitry V. Levin
2003-10-09 9:27 ` Marat Khairullin
2003-10-09 9:34 ` Dmitry V. Levin
2003-10-09 10:35 ` [devel] " Alexey Tourbin
2003-10-09 10:41 ` Dmitry V. Levin
2003-10-09 9:49 ` [devel] " Denis Ovsienko
2003-10-09 9:45 ` Dmitry V. Levin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git