[devel] sec Updates for 2.x

ALT Linux Team development discussions
 help / color / mirror / Atom feed

* [devel] sec Updates for 2.x
@ 2003-10-09  8:55 Marat Khairullin
  2003-10-09  9:08 ` Dmitry V. Levin
  2003-10-09  9:49 ` [devel] " Denis Ovsienko
  0 siblings, 2 replies; 8+ messages in thread
From: Marat Khairullin @ 2003-10-09  8:55 UTC (permalink / raw)
  To: devel

Будут ли обновления для ALTM2.2 и, особенно, Утес (2.0)?

http://www.linuxsecurity.com/advisories/debian_advisory-3618.html
Package        : xfree86
Vulnerability  : buffer overflows, denial of service
Problem-Type   : remote
Debian-specific: no
CVE Ids        : CAN-2003-0063 CAN-2003-0071 CAN-2002-0164 CAN-2003-0730

PACKAGE   : gtkhtml
http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html

PACKAGE   : stunnel
http://www.linuxsecurity.com/advisories/connectiva_advisory-3603.html

PACKAGE   : php4
http://www.linuxsecurity.com/advisories/connectiva_advisory-3684.html

PACKAGE   : gdm
http://www.linuxsecurity.com/advisories/connectiva_advisory-3591.html



^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] sec Updates for 2.x
  2003-10-09  8:55 [devel] sec Updates for 2.x Marat Khairullin
@ 2003-10-09  9:08 ` Dmitry V. Levin
  2003-10-09  9:27   ` Marat Khairullin
  2003-10-09  9:49 ` [devel] " Denis Ovsienko
  1 sibling, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09  9:08 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 1150 bytes --]

On Thu, Oct 09, 2003 at 12:55:56PM +0400, Marat Khairullin wrote:
> Будут ли обновления для ALTM2.2 и, особенно, Утес (2.0)?

См. тж.
http://www.altlinux.ru/pipermail/security-announce/2003-September/000091.html

> http://www.linuxsecurity.com/advisories/debian_advisory-3618.html
> Package        : xfree86
> Vulnerability  : buffer overflows, denial of service
> Problem-Type   : remote
> Debian-specific: no
> CVE Ids        : CAN-2003-0063 CAN-2003-0071 CAN-2002-0164 CAN-2003-0730

pending, maintainer xfree86 анализирует.

> PACKAGE   : gtkhtml
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html

не будет, maintainer gtkhtml не проявил интереса.

> PACKAGE   : stunnel
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3603.html

http://www.altlinux.ru/pipermail/security-announce/2003-August/000082.html

> PACKAGE   : php4
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3684.html

maintainer php4 проанализировал и не нашёл предмета для исправления.

> PACKAGE   : gdm
> http://www.linuxsecurity.com/advisories/connectiva_advisory-3591.html

maintainer gdm исправил и готовит анонс.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] sec Updates for 2.x
  2003-10-09  9:08 ` Dmitry V. Levin
@ 2003-10-09  9:27   ` Marat Khairullin
  2003-10-09  9:34     ` Dmitry V. Levin
  0 siblings, 1 reply; 8+ messages in thread
From: Marat Khairullin @ 2003-10-09  9:27 UTC (permalink / raw)
  To: ALT Devel discussion list

On Thu, 9 Oct 2003 13:08:03 +0400
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> > PACKAGE   : gtkhtml
> > http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html
> 
> не будет, maintainer gtkhtml не проявил интереса.

Решение об исправлении зависит только от личной заинтересованности maintainerа?
Это нормально? Стоит ли тогда покупать Утес? По условиям сертификации я не могу
сам собирать новые версии пакетов - только с сайта разработчика...

>>http://www.linuxsecurity.com/advisories/turbolinux_advisory-3580.html
>>   An attacker could use this vulnerability to execute embedded scripts within
>>    the context of the generated page.

> maintainer php4 проанализировал и не нашёл предмета для исправления.

???

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] sec Updates for 2.x
  2003-10-09  9:27   ` Marat Khairullin
@ 2003-10-09  9:34     ` Dmitry V. Levin
  2003-10-09 10:35       ` [devel] " Alexey Tourbin
  0 siblings, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09  9:34 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 1017 bytes --]

On Thu, Oct 09, 2003 at 01:27:35PM +0400, Marat Khairullin wrote:
> On Thu, 9 Oct 2003 13:08:03 +0400 Dmitry V. Levin wrote:
> 
> > > PACKAGE   : gtkhtml
> > > http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html
> > 
> > не будет, maintainer gtkhtml не проявил интереса.
> 
> Решение об исправлении зависит только от личной заинтересованности maintainerа?

Конечно.

С другой стороны, от исправляемости зависит, попадёт ли пакет в очередной
дистрибутив.

> Это нормально? Стоит ли тогда покупать Утес? По условиям сертификации я не могу
> сам собирать новые версии пакетов - только с сайта разработчика...

Не пользуйтесь gtkhtml'ем.  Совсем.

> >>http://www.linuxsecurity.com/advisories/turbolinux_advisory-3580.html
> >>   An attacker could use this vulnerability to execute embedded scripts within
> >>    the context of the generated page.
> 
> > maintainer php4 проанализировал и не нашёл предмета для исправления.
> 
> ???

Спросите у maintainer'а.  Скорее всего, php бывают разные.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* [devel] Re: sec Updates for 2.x
  2003-10-09  9:34     ` Dmitry V. Levin
@ 2003-10-09 10:35       ` Alexey Tourbin
  2003-10-09 10:41         ` Dmitry V. Levin
  0 siblings, 1 reply; 8+ messages in thread
From: Alexey Tourbin @ 2003-10-09 10:35 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 504 bytes --]

On Thu, Oct 09, 2003 at 01:34:39PM +0400, Dmitry V. Levin wrote:
> > Решение об исправлении зависит только от личной заинтересованности maintainerа?
> 
> Конечно.
> 
> С другой стороны, от исправляемости зависит, попадёт ли пакет в очередной
> дистрибутив.

Думаю, что нужно подготовить policy с требованиями по выпуску security
updates, в котором описаны правила взаимодействия maintainer'ов и ALT
Security Team.  Узнавать задним числом о "личной (не)заинтересованности
maintainer'а" как-то несерьезно.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] Re: sec Updates for 2.x
  2003-10-09 10:35       ` [devel] " Alexey Tourbin
@ 2003-10-09 10:41         ` Dmitry V. Levin
  0 siblings, 0 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09 10:41 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 665 bytes --]

On Thu, Oct 09, 2003 at 02:35:13PM +0400, Alexey Tourbin wrote:
> On Thu, Oct 09, 2003 at 01:34:39PM +0400, Dmitry V. Levin wrote:
> > > Решение об исправлении зависит только от личной заинтересованности maintainerа?
> > 
> > Конечно.
> > 
> > С другой стороны, от исправляемости зависит, попадёт ли пакет в очередной
> > дистрибутив.
> 
> Думаю, что нужно подготовить policy с требованиями по выпуску security
> updates, в котором описаны правила взаимодействия maintainer'ов и ALT
> Security Team.

Я тоже так думаю.

> Узнавать задним числом о "личной (не)заинтересованности
> maintainer'а" как-то несерьезно.

А для ALT Security Team ещё и неприятно.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] sec Updates for 2.x
  2003-10-09  8:55 [devel] sec Updates for 2.x Marat Khairullin
  2003-10-09  9:08 ` Dmitry V. Levin
@ 2003-10-09  9:49 ` Denis Ovsienko
  2003-10-09  9:45   ` Dmitry V. Levin
  1 sibling, 1 reply; 8+ messages in thread
From: Denis Ovsienko @ 2003-10-09  9:49 UTC (permalink / raw)
  To: ALT Devel discussion list

Да, кстати, вот цитата от 17.09:

gdm: CAN-2003-054{7..9}
XFree86: CAN-2003-0730
sane: CAN-2003-077{3..8}
MySQL: CAN-2003-0780
По независящим от ALT Security Team причинам организационного характера
выпуск этих и других обновлений задерживается.

Забыли либо проанонсировать, либо выпустить пакеты.

--
    DO4-UANIC

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [devel] sec Updates for 2.x
  2003-10-09  9:49 ` [devel] " Denis Ovsienko
@ 2003-10-09  9:45   ` Dmitry V. Levin
  0 siblings, 0 replies; 8+ messages in thread
From: Dmitry V. Levin @ 2003-10-09  9:45 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 511 bytes --]

On Thu, Oct 09, 2003 at 12:49:37PM +0300, Denis Ovsienko wrote:
> Да, кстати, вот цитата от 17.09:
> 
> gdm: CAN-2003-054{7..9}
> XFree86: CAN-2003-0730
> sane: CAN-2003-077{3..8}
> MySQL: CAN-2003-0780
> По независящим от ALT Security Team причинам организационного характера
> выпуск этих и других обновлений задерживается.
> 
> Забыли либо проанонсировать, либо выпустить пакеты.

Не думаю, что забыли.  Скорее всего, причины не исчезли и обновления
продолжают задерживаться.  Спрашивайте на org@.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2003-10-09 10:41 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-10-09  8:55 [devel] sec Updates for 2.x Marat Khairullin
2003-10-09  9:08 ` Dmitry V. Levin
2003-10-09  9:27   ` Marat Khairullin
2003-10-09  9:34     ` Dmitry V. Levin
2003-10-09 10:35       ` [devel] " Alexey Tourbin
2003-10-09 10:41         ` Dmitry V. Levin
2003-10-09  9:49 ` [devel] " Denis Ovsienko
2003-10-09  9:45   ` Dmitry V. Levin

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git