* [sisyphus] Re: [security-announce] IA: new nasm packages available @ 2005-01-25 15:25 ` Epiphanov Sergei 2005-01-25 15:24 ` Michael Shigorin 2005-01-25 16:01 ` Dmitry V. Levin 0 siblings, 2 replies; 8+ messages in thread From: Epiphanov Sergei @ 2005-01-25 15:25 UTC (permalink / raw) To: Рассылка Sisyphus В сообщении от 25 Январь 2005 17:51 ALT Security Team написал: > Пакет : nasm > Уязвимость : локальная/удалённая > Тип ошибки : переполнение буфера > ALT-specific: нет > CVE ID : CAN-2004-1287 > > CAN-2004-1287: > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних ^^^^^^^^^^^^ > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете > nasm-0.98.35-alt2. ^^^^^^ а почему версия для обновления старше? -- С уважением, Епифанов Сергей ^ permalink raw reply [flat|nested] 8+ messages in thread
* [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei @ 2005-01-25 15:24 ` Michael Shigorin 2005-01-25 16:00 ` Epiphanov Sergei 2005-01-25 16:01 ` Dmitry V. Levin 1 sibling, 1 reply; 8+ messages in thread From: Michael Shigorin @ 2005-01-25 15:24 UTC (permalink / raw) To: Рассылка Sisyphus [-- Attachment #1: Type: text/plain, Size: 511 bytes --] On Tue, Jan 25, 2005 at 06:25:03PM +0300, Epiphanov Sergei wrote: > > CAN-2004-1287: > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних > ^^^^^^^^^^^^ > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в > > пакете nasm-0.98.35-alt2. > ^^^^^^ а почему версия для обновления старше? Потому что в ALM2.4 -- 0.98.35, а возможность сделать минимальные изменения -- была. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-25 15:24 ` Michael Shigorin @ 2005-01-25 16:00 ` Epiphanov Sergei 2005-01-25 15:55 ` Michael Shigorin 0 siblings, 1 reply; 8+ messages in thread From: Epiphanov Sergei @ 2005-01-25 16:00 UTC (permalink / raw) To: Рассылка Sisyphus В сообщении от 25 Январь 2005 18:24 Michael Shigorin написал: > > > CAN-2004-1287: > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних > > > > ^^^^^^^^^^^^ > > > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в ^^^^^^^^^^^^^^^^ - Сизиф > > > пакете nasm-0.98.35-alt2. > > > > ^^^^^^ а почему версия для обновления старше? > > Потому что в ALM2.4 -- 0.98.35, а возможность сделать минимальные > изменения -- была. Ну если бы это было для Master2.4, то понятно и так, но для Сизифа? Чтобы было как можно меньше правок в пакете? -- С уважением, Епифанов Сергей ^ permalink raw reply [flat|nested] 8+ messages in thread
* [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-25 16:00 ` Epiphanov Sergei @ 2005-01-25 15:55 ` Michael Shigorin 0 siblings, 0 replies; 8+ messages in thread From: Michael Shigorin @ 2005-01-25 15:55 UTC (permalink / raw) To: Рассылка Sisyphus [-- Attachment #1: Type: text/plain, Size: 789 bytes --] On Tue, Jan 25, 2005 at 07:00:12PM +0300, Epiphanov Sergei wrote: > > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в > ^^^^^^^^^^^^^^^^ - Сизиф > > > > пакете nasm-0.98.35-alt2. > > > ^^^^^^ а почему версия для обновления старше? > > Потому что в ALM2.4 -- 0.98.35, а возможность сделать > > минимальные изменения -- была. > Ну если бы это было для Master2.4, то понятно и так, но для > Сизифа? Чтобы было как можно меньше правок в пакете? Очевидно, пакет пересобрали с минимальными изменениями относительно последнего состояния и в Sisyphus. :) Да не переживайте так, эта дырка относится к разряду формально-показательных. Студенты djb, однако. :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei 2005-01-25 15:24 ` Michael Shigorin @ 2005-01-25 16:01 ` Dmitry V. Levin 2005-01-26 7:39 ` Epiphanov Sergei 1 sibling, 1 reply; 8+ messages in thread From: Dmitry V. Levin @ 2005-01-25 16:01 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 611 bytes --] On Tue, Jan 25, 2005 at 06:25:03PM +0300, Epiphanov Sergei wrote: > В сообщении от 25 Январь 2005 17:51 ALT Security Team написал: > > Пакет : nasm > > Уязвимость : локальная/удалённая > > Тип ошибки : переполнение буфера > > ALT-specific: нет > > CVE ID : CAN-2004-1287 > > > > CAN-2004-1287: > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних > > ^^^^^^^^^^^^ > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете > > nasm-0.98.35-alt2. > ^^^^^^ а почему версия для обновления старше? А что, вас она чем-то не устраивает? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-25 16:01 ` Dmitry V. Levin @ 2005-01-26 7:39 ` Epiphanov Sergei 2005-01-26 8:18 ` Stanislav Ievlev 0 siblings, 1 reply; 8+ messages in thread From: Epiphanov Sergei @ 2005-01-26 7:39 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list В сообщении от 25 Январь 2005 19:01 Dmitry V. Levin написал: > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних > > > > ^^^^^^^^^^^^ > > > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете > > > nasm-0.98.35-alt2. > > > > ^^^^^^ а почему версия для обновления старше? > > А что, вас она чем-то не устраивает? Да с ней всё в порядке. Просто чисто формально: вроде, при появлении уязвимостей в Сизиф старались выкладывать программы версией более новой, чем заявленные в уязвимости (за исключением системно-важных пакетов вроде ldap, openssh и т.д.) и тут читаю, что есть уязвимость в версиях, более новых, чем исправленная в Сизифе, что, на мой взгляд, эта программа не системно-важная, и решил выяснить с чем это связано. -- С уважением, Епифанов Сергей ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-26 7:39 ` Epiphanov Sergei @ 2005-01-26 8:18 ` Stanislav Ievlev 2005-01-26 9:09 ` Michael Shigorin 0 siblings, 1 reply; 8+ messages in thread From: Stanislav Ievlev @ 2005-01-26 8:18 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Wed, Jan 26, 2005 at 10:39:55AM +0300, Epiphanov Sergei wrote: > В сообщении от 25 Январь 2005 19:01 Dmitry V. Levin написал: > > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних > > > > > > ^^^^^^^^^^^^ > > > > > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете > > > > nasm-0.98.35-alt2. > > > > > > ^^^^^^ а почему версия для обновления старше? > > > > А что, вас она чем-то не устраивает? > > Да с ней всё в порядке. Просто чисто формально: вроде, при появлении > уязвимостей в Сизиф старались выкладывать программы версией более новой, Ничего подобного. Никогда это не было правилом. Это всегда целиком зависело от желания мантейнеров. Мало ли какие есть причины не обновлять версию пакета в Сизифе. ^ permalink raw reply [flat|nested] 8+ messages in thread
* [sisyphus] Re: [security-announce] IA: new nasm packages available 2005-01-26 8:18 ` Stanislav Ievlev @ 2005-01-26 9:09 ` Michael Shigorin 0 siblings, 0 replies; 8+ messages in thread From: Michael Shigorin @ 2005-01-26 9:09 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 1803 bytes --] On Wed, Jan 26, 2005 at 11:18:09AM +0300, Stanislav Ievlev wrote: > > > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних > > > > ^^^^^^^^^^^^ > > > > > Исправление этой уязвимости для ALT Linux Sisyphus > > > > > доступно в пакете nasm-0.98.35-alt2. > > > > ^^^^^^ а почему версия для обновления старше? > > > А что, вас она чем-то не устраивает? > > Да с ней всё в порядке. Просто чисто формально: вроде, при появлении > > уязвимостей в Сизиф старались выкладывать программы версией более новой, > Ничего подобного. Никогда это не было правилом. Это всегда > целиком зависело от желания мантейнеров. Мало ли какие есть > причины не обновлять версию пакета в Сизифе. _Вообще говоря_, вопрос-то хороший. Если всё-таки высказать подуманное сразу (перед этим вспомнив не сильно давние обсуждения в community@ и рядом) -- получим, что при обнаружении дырки: - идеально -- это когда: * в updates для поддерживаемого(-ых) stable максимально быстро появляется сборка, основанная на той же версии с той же (если это не противоречит исправлению) функциональностью; * после этого проблема исправляется в unstable последней (при отсутствии противопоказаний) версией, возможно, с дополнительными правками. - хорошо -- это когда в updates достаточно быстро появляется как минимум обновлённая до исправленной версия; - плохо -- это когда через какое-то (малоопределённое) время в unstable молча появляется новая версия (порой без пометки о security fixes в changelog), а уже её по ходу дела собирают в updates; - из рук вон плохо -- это когда вообще ничего нигде не появляется. Это про сами обновления, не про анонсы. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2005-01-26 9:09 UTC | newest] Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei 2005-01-25 15:24 ` Michael Shigorin 2005-01-25 16:00 ` Epiphanov Sergei 2005-01-25 15:55 ` Michael Shigorin 2005-01-25 16:01 ` Dmitry V. Levin 2005-01-26 7:39 ` Epiphanov Sergei 2005-01-26 8:18 ` Stanislav Ievlev 2005-01-26 9:09 ` Michael Shigorin
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git