* [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei
@ 2005-01-25 15:24 ` Michael Shigorin
2005-01-25 16:00 ` Epiphanov Sergei
2005-01-25 16:01 ` Dmitry V. Levin
1 sibling, 1 reply; 8+ messages in thread
From: Michael Shigorin @ 2005-01-25 15:24 UTC (permalink / raw)
To: Рассылка Sisyphus
[-- Attachment #1: Type: text/plain, Size: 511 bytes --]
On Tue, Jan 25, 2005 at 06:25:03PM +0300, Epiphanov Sergei wrote:
> > CAN-2004-1287:
> > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> ^^^^^^^^^^^^
> > Исправление этой уязвимости для ALT Linux Sisyphus доступно в
> > пакете nasm-0.98.35-alt2.
> ^^^^^^ а почему версия для обновления старше?
Потому что в ALM2.4 -- 0.98.35, а возможность сделать минимальные
изменения -- была.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* [sisyphus] Re: [security-announce] IA: new nasm packages available
@ 2005-01-25 15:25 ` Epiphanov Sergei
2005-01-25 15:24 ` Michael Shigorin
2005-01-25 16:01 ` Dmitry V. Levin
0 siblings, 2 replies; 8+ messages in thread
From: Epiphanov Sergei @ 2005-01-25 15:25 UTC (permalink / raw)
To: Рассылка Sisyphus
В сообщении от 25 Январь 2005 17:51 ALT Security Team написал:
> Пакет : nasm
> Уязвимость : локальная/удалённая
> Тип ошибки : переполнение буфера
> ALT-specific: нет
> CVE ID : CAN-2004-1287
>
> CAN-2004-1287:
> Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
^^^^^^^^^^^^
> Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> nasm-0.98.35-alt2.
^^^^^^ а почему версия для обновления старше?
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 8+ messages in thread
* [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-25 16:00 ` Epiphanov Sergei
@ 2005-01-25 15:55 ` Michael Shigorin
0 siblings, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2005-01-25 15:55 UTC (permalink / raw)
To: Рассылка Sisyphus
[-- Attachment #1: Type: text/plain, Size: 789 bytes --]
On Tue, Jan 25, 2005 at 07:00:12PM +0300, Epiphanov Sergei wrote:
> > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в
> ^^^^^^^^^^^^^^^^ - Сизиф
> > > > пакете nasm-0.98.35-alt2.
> > > ^^^^^^ а почему версия для обновления старше?
> > Потому что в ALM2.4 -- 0.98.35, а возможность сделать
> > минимальные изменения -- была.
> Ну если бы это было для Master2.4, то понятно и так, но для
> Сизифа? Чтобы было как можно меньше правок в пакете?
Очевидно, пакет пересобрали с минимальными изменениями
относительно последнего состояния и в Sisyphus. :)
Да не переживайте так, эта дырка относится к разряду
формально-показательных. Студенты djb, однако. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-25 15:24 ` Michael Shigorin
@ 2005-01-25 16:00 ` Epiphanov Sergei
2005-01-25 15:55 ` Michael Shigorin
0 siblings, 1 reply; 8+ messages in thread
From: Epiphanov Sergei @ 2005-01-25 16:00 UTC (permalink / raw)
To: Рассылка Sisyphus
В сообщении от 25 Январь 2005 18:24 Michael Shigorin написал:
> > > CAN-2004-1287:
> > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> >
> > ^^^^^^^^^^^^
> >
> > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в
^^^^^^^^^^^^^^^^ - Сизиф
> > > пакете nasm-0.98.35-alt2.
> >
> > ^^^^^^ а почему версия для обновления старше?
>
> Потому что в ALM2.4 -- 0.98.35, а возможность сделать минимальные
> изменения -- была.
Ну если бы это было для Master2.4, то понятно и так, но для Сизифа? Чтобы
было как можно меньше правок в пакете?
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei
2005-01-25 15:24 ` Michael Shigorin
@ 2005-01-25 16:01 ` Dmitry V. Levin
2005-01-26 7:39 ` Epiphanov Sergei
1 sibling, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2005-01-25 16:01 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 611 bytes --]
On Tue, Jan 25, 2005 at 06:25:03PM +0300, Epiphanov Sergei wrote:
> В сообщении от 25 Январь 2005 17:51 ALT Security Team написал:
> > Пакет : nasm
> > Уязвимость : локальная/удалённая
> > Тип ошибки : переполнение буфера
> > ALT-specific: нет
> > CVE ID : CAN-2004-1287
> >
> > CAN-2004-1287:
> > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
>
> ^^^^^^^^^^^^
>
> > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> > nasm-0.98.35-alt2.
> ^^^^^^ а почему версия для обновления старше?
А что, вас она чем-то не устраивает?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-25 16:01 ` Dmitry V. Levin
@ 2005-01-26 7:39 ` Epiphanov Sergei
2005-01-26 8:18 ` Stanislav Ievlev
0 siblings, 1 reply; 8+ messages in thread
From: Epiphanov Sergei @ 2005-01-26 7:39 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
В сообщении от 25 Январь 2005 19:01 Dmitry V. Levin написал:
> > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> >
> > ^^^^^^^^^^^^
> >
> > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> > > nasm-0.98.35-alt2.
> >
> > ^^^^^^ а почему версия для обновления старше?
>
> А что, вас она чем-то не устраивает?
Да с ней всё в порядке. Просто чисто формально: вроде, при появлении
уязвимостей в Сизиф старались выкладывать программы версией более новой,
чем заявленные в уязвимости (за исключением системно-важных пакетов вроде
ldap, openssh и т.д.) и тут читаю, что есть уязвимость в версиях, более
новых, чем исправленная в Сизифе, что, на мой взгляд, эта программа не
системно-важная, и решил выяснить с чем это связано.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-26 7:39 ` Epiphanov Sergei
@ 2005-01-26 8:18 ` Stanislav Ievlev
2005-01-26 9:09 ` Michael Shigorin
0 siblings, 1 reply; 8+ messages in thread
From: Stanislav Ievlev @ 2005-01-26 8:18 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Wed, Jan 26, 2005 at 10:39:55AM +0300, Epiphanov Sergei wrote:
> В сообщении от 25 Январь 2005 19:01 Dmitry V. Levin написал:
> > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> > >
> > > ^^^^^^^^^^^^
> > >
> > > > Исправление этой уязвимости для ALT Linux Sisyphus доступно в пакете
> > > > nasm-0.98.35-alt2.
> > >
> > > ^^^^^^ а почему версия для обновления старше?
> >
> > А что, вас она чем-то не устраивает?
>
> Да с ней всё в порядке. Просто чисто формально: вроде, при появлении
> уязвимостей в Сизиф старались выкладывать программы версией более новой,
Ничего подобного. Никогда это не было правилом. Это всегда целиком зависело от желания мантейнеров. Мало ли какие есть причины не обновлять версию пакета в Сизифе.
^ permalink raw reply [flat|nested] 8+ messages in thread
* [sisyphus] Re: [security-announce] IA: new nasm packages available
2005-01-26 8:18 ` Stanislav Ievlev
@ 2005-01-26 9:09 ` Michael Shigorin
0 siblings, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2005-01-26 9:09 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
[-- Attachment #1: Type: text/plain, Size: 1803 bytes --]
On Wed, Jan 26, 2005 at 11:18:09AM +0300, Stanislav Ievlev wrote:
> > > > > Переполнение буфера в утилите nasm версии 0.98.38 и более ранних
> > > > ^^^^^^^^^^^^
> > > > > Исправление этой уязвимости для ALT Linux Sisyphus
> > > > > доступно в пакете nasm-0.98.35-alt2.
> > > > ^^^^^^ а почему версия для обновления старше?
> > > А что, вас она чем-то не устраивает?
> > Да с ней всё в порядке. Просто чисто формально: вроде, при появлении
> > уязвимостей в Сизиф старались выкладывать программы версией более новой,
> Ничего подобного. Никогда это не было правилом. Это всегда
> целиком зависело от желания мантейнеров. Мало ли какие есть
> причины не обновлять версию пакета в Сизифе.
_Вообще говоря_, вопрос-то хороший. Если всё-таки высказать
подуманное сразу (перед этим вспомнив не сильно давние обсуждения
в community@ и рядом) -- получим, что при обнаружении дырки:
- идеально -- это когда:
* в updates для поддерживаемого(-ых) stable максимально быстро
появляется сборка, основанная на той же версии с той же
(если это не противоречит исправлению) функциональностью;
* после этого проблема исправляется в unstable последней (при
отсутствии противопоказаний) версией, возможно, с
дополнительными правками.
- хорошо -- это когда в updates достаточно быстро появляется как
минимум обновлённая до исправленной версия;
- плохо -- это когда через какое-то (малоопределённое) время в
unstable молча появляется новая версия (порой без пометки о
security fixes в changelog), а уже её по ходу дела собирают
в updates;
- из рук вон плохо -- это когда вообще ничего нигде не появляется.
Это про сами обновления, не про анонсы.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2005-01-26 9:09 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-01-25 15:25 ` [sisyphus] Re: [security-announce] IA: new nasm packages available Epiphanov Sergei
2005-01-25 15:24 ` Michael Shigorin
2005-01-25 16:00 ` Epiphanov Sergei
2005-01-25 15:55 ` Michael Shigorin
2005-01-25 16:01 ` Dmitry V. Levin
2005-01-26 7:39 ` Epiphanov Sergei
2005-01-26 8:18 ` Stanislav Ievlev
2005-01-26 9:09 ` Michael Shigorin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git