ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei
@ 2005-01-25 15:24   ` Michael Shigorin
  2005-01-25 16:00     ` Epiphanov Sergei
  2005-01-25 16:01   ` Dmitry V. Levin
  1 sibling, 1 reply; 8+ messages in thread
From: Michael Shigorin @ 2005-01-25 15:24 UTC (permalink / raw)
  To: Рассылка Sisyphus

[-- Attachment #1: Type: text/plain, Size: 511 bytes --]

On Tue, Jan 25, 2005 at 06:25:03PM +0300, Epiphanov Sergei wrote:
> > CAN-2004-1287:
> > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> ^^^^^^^^^^^^
> > Исправление этой уязвимости для ALT Linux Sisyphus доступно в
> > пакете nasm-0.98.35-alt2.
> ^^^^^^ а почему версия для обновления старше?

Потому что в ALM2.4 -- 0.98.35, а возможность сделать минимальные
изменения -- была.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* [sisyphus] Re: [security-announce] IA: new nasm packages available
  @ 2005-01-25 15:25 ` Epiphanov Sergei
  2005-01-25 15:24   ` Michael Shigorin
  2005-01-25 16:01   ` Dmitry V. Levin
  0 siblings, 2 replies; 8+ messages in thread
From: Epiphanov Sergei @ 2005-01-25 15:25 UTC (permalink / raw)
  To: Рассылка Sisyphus

В сообщении от 25 Январь 2005 17:51 ALT Security Team написал:
> Пакет       : nasm
> Уязвимость  : локальная/удалённая
> Тип ошибки  : переполнение буфера
> ALT-specific: нет
> CVE ID      : CAN-2004-1287
>
> CAN-2004-1287:
> Переполнение буфера в утилите nasm версии 0.98.38 и более ранних

^^^^^^^^^^^^

> Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> nasm-0.98.35-alt2.
^^^^^^ а почему версия для обновления старше?

-- 
С уважением, Епифанов Сергей


^ permalink raw reply	[flat|nested] 8+ messages in thread

* [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-25 16:00     ` Epiphanov Sergei
@ 2005-01-25 15:55       ` Michael Shigorin
  0 siblings, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2005-01-25 15:55 UTC (permalink / raw)
  To: Рассылка Sisyphus

[-- Attachment #1: Type: text/plain, Size: 789 bytes --]

On Tue, Jan 25, 2005 at 07:00:12PM +0300, Epiphanov Sergei wrote:
> > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в
>  ^^^^^^^^^^^^^^^^ - Сизиф
> > > > пакете nasm-0.98.35-alt2.
> > > ^^^^^^ а почему версия для обновления старше?
> > Потому что в ALM2.4 -- 0.98.35, а возможность сделать
> > минимальные изменения -- была.
> Ну если бы это было для Master2.4, то понятно и так, но для
> Сизифа? Чтобы было как можно меньше правок в пакете?

Очевидно, пакет пересобрали с минимальными изменениями
относительно последнего состояния и в Sisyphus. :)

Да не переживайте так, эта дырка относится к разряду
формально-показательных.  Студенты djb, однако. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-25 15:24   ` Michael Shigorin
@ 2005-01-25 16:00     ` Epiphanov Sergei
  2005-01-25 15:55       ` Michael Shigorin
  0 siblings, 1 reply; 8+ messages in thread
From: Epiphanov Sergei @ 2005-01-25 16:00 UTC (permalink / raw)
  To: Рассылка Sisyphus

В сообщении от 25 Январь 2005 18:24 Michael Shigorin написал:
> > > CAN-2004-1287:
> > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> >
> > ^^^^^^^^^^^^
> >
> > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в
 ^^^^^^^^^^^^^^^^ - Сизиф
> > > пакете nasm-0.98.35-alt2.
> >
> > ^^^^^^ а почему версия для обновления старше?
>
> Потому что в ALM2.4 -- 0.98.35, а возможность сделать минимальные
> изменения -- была.

Ну если бы это было для Master2.4, то понятно и так, но для Сизифа? Чтобы 
было как можно меньше правок в пакете?

-- 
С уважением, Епифанов Сергей


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei
  2005-01-25 15:24   ` Michael Shigorin
@ 2005-01-25 16:01   ` Dmitry V. Levin
  2005-01-26  7:39     ` Epiphanov Sergei
  1 sibling, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2005-01-25 16:01 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 611 bytes --]

On Tue, Jan 25, 2005 at 06:25:03PM +0300, Epiphanov Sergei wrote:
> В сообщении от 25 Январь 2005 17:51 ALT Security Team написал:
> > Пакет       : nasm
> > Уязвимость  : локальная/удалённая
> > Тип ошибки  : переполнение буфера
> > ALT-specific: нет
> > CVE ID      : CAN-2004-1287
> >
> > CAN-2004-1287:
> > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> 
> ^^^^^^^^^^^^
> 
> > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> > nasm-0.98.35-alt2.
> ^^^^^^ а почему версия для обновления старше?

А что, вас она чем-то не устраивает?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-25 16:01   ` Dmitry V. Levin
@ 2005-01-26  7:39     ` Epiphanov Sergei
  2005-01-26  8:18       ` Stanislav Ievlev
  0 siblings, 1 reply; 8+ messages in thread
From: Epiphanov Sergei @ 2005-01-26  7:39 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

В сообщении от 25 Январь 2005 19:01 Dmitry V. Levin написал:
> > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> >
> > ^^^^^^^^^^^^
> >
> > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> > > nasm-0.98.35-alt2.
> >
> > ^^^^^^ а почему версия для обновления старше?
>
> А что, вас она чем-то не устраивает?

Да с ней всё в порядке. Просто чисто формально: вроде, при появлении 
уязвимостей в Сизиф старались выкладывать программы версией более новой, 
чем заявленные в уязвимости (за исключением системно-важных пакетов вроде 
ldap, openssh и т.д.) и тут читаю, что есть уязвимость в версиях, более 
новых, чем исправленная в Сизифе, что, на мой взгляд, эта программа не 
системно-важная, и решил выяснить с чем это связано.

-- 
С уважением, Епифанов Сергей


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-26  7:39     ` Epiphanov Sergei
@ 2005-01-26  8:18       ` Stanislav Ievlev
  2005-01-26  9:09         ` Michael Shigorin
  0 siblings, 1 reply; 8+ messages in thread
From: Stanislav Ievlev @ 2005-01-26  8:18 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

On Wed, Jan 26, 2005 at 10:39:55AM +0300, Epiphanov Sergei wrote:
> В сообщении от 25 Январь 2005 19:01 Dmitry V. Levin написал:
> > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> > >
> > > ^^^^^^^^^^^^
> > >
> > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> > > > nasm-0.98.35-alt2.
> > >
> > > ^^^^^^ а почему версия для обновления старше?
> >
> > А что, вас она чем-то не устраивает?
> 
> Да с ней всё в порядке. Просто чисто формально: вроде, при появлении 
> уязвимостей в Сизиф старались выкладывать программы версией более новой,
Ничего подобного. Никогда это не было правилом. Это всегда целиком зависело от желания мантейнеров. Мало ли какие есть причины не обновлять версию пакета в Сизифе.



^ permalink raw reply	[flat|nested] 8+ messages in thread

* [sisyphus] Re: [security-announce] IA: new nasm packages available
  2005-01-26  8:18       ` Stanislav Ievlev
@ 2005-01-26  9:09         ` Michael Shigorin
  0 siblings, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2005-01-26  9:09 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

[-- Attachment #1: Type: text/plain, Size: 1803 bytes --]

On Wed, Jan 26, 2005 at 11:18:09AM +0300, Stanislav Ievlev wrote:
> > > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> > > > ^^^^^^^^^^^^
> > > > > Исправление этой уязвимости для ALT Linux Sisyphus
> > > > > доступно в пакете nasm-0.98.35-alt2.
> > > > ^^^^^^ а почему версия для обновления старше?
> > > А что, вас она чем-то не устраивает?
> > Да с ней всё в порядке. Просто чисто формально: вроде, при появлении 
> > уязвимостей в Сизиф старались выкладывать программы версией более новой,
> Ничего подобного. Никогда это не было правилом. Это всегда
> целиком зависело от желания мантейнеров. Мало ли какие есть
> причины не обновлять версию пакета в Сизифе.

_Вообще говоря_, вопрос-то хороший.  Если всё-таки высказать
подуманное сразу (перед этим вспомнив не сильно давние обсуждения
в community@ и рядом) -- получим, что при обнаружении дырки:

- идеально -- это когда:

  * в updates для поддерживаемого(-ых) stable максимально быстро
    появляется сборка, основанная на той же версии с той же
    (если это не противоречит исправлению) функциональностью;
  * после этого проблема исправляется в unstable последней (при
    отсутствии противопоказаний) версией, возможно, с
    дополнительными правками.

- хорошо -- это когда в updates достаточно быстро появляется как
  минимум обновлённая до исправленной версия;

- плохо -- это когда через какое-то (малоопределённое) время в
  unstable молча появляется новая версия (порой без пометки о
  security fixes в changelog), а уже её по ходу дела собирают 
  в updates;

- из рук вон плохо -- это когда вообще ничего нигде не появляется.
  
Это про сами обновления, не про анонсы.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2005-01-26  9:09 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei
2005-01-25 15:24   ` Michael Shigorin
2005-01-25 16:00     ` Epiphanov Sergei
2005-01-25 15:55       ` Michael Shigorin
2005-01-25 16:01   ` Dmitry V. Levin
2005-01-26  7:39     ` Epiphanov Sergei
2005-01-26  8:18       ` Stanislav Ievlev
2005-01-26  9:09         ` Michael Shigorin

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git