packages: lynx/lynx.spec - up to 2.8.7rel.1 [fixes CVE-2008-4690] - acfix, ...
Michał Lisowski
lisu87 w gmail.com
Wto, 7 Lip 2009, 08:53:33 CEST
Wiadomość napisana w dniu 2009-07-06, o godz. 17:09, przez Bartosz
Świątek:
> W dniu 6 lipca 2009 16:57 użytkownik Michał Lisowski
> <lisu87 w gmail.com> napisał:
>>
>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:40, przez Bartosz
>> Świątek:
>>
>>> W dniu 6 lipca 2009 16:35 użytkownik Bartosz Świątek
>>> <shadzik w gmail.com> napisał:
>>>> W dniu 6 lipca 2009 16:34 użytkownik Michał Lisowski <lisu87 w gmail.com
>>>>> napisał:
>>>>>
>>>>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:30, przez Bartosz
>>>>> Świątek:
>>>>>
>>>>>> W dniu 6 lipca 2009 16:23 użytkownik Michał Lisowski
>>>>>> <lisu87 w gmail.com> napisał:
>>>>>>>
>>>>>>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:17, przez
>>>>>>> Bartosz
>>>>>>> Świątek:
>>>>>>>
>>>>>>>> W dniu 6 lipca 2009 16:11 użytkownik Michał Lisowski
>>>>>>>> <lisu87 w gmail.com> napisał:
>>>>>>>>>
>>>>>>>>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:02, przez
>>>>>>>>> Bartosz
>>>>>>>>> Świątek:
>>>>>>>>>
>>>>>>>>>> 2009/7/6 lisu <lisu w pld-linux.org>:
>>>>>>>>>>> Author: lisu Date: Mon Jul 6
>>>>>>>>>>> 13:56:41
>>>>>>>>>>> 2009
>>>>>>>>>>> GMT
>>>>>>>>>>> Module: packages Tag: HEAD
>>>>>>>>>>> ---- Log message:
>>>>>>>>>>> - up to 2.8.7rel.1 [fixes CVE-2008-4690]
>>>>>>>>>>> - acfix, autoconf, cfg, config, pld, po_DESTDIR patches
>>>>>>>>>>> updated
>>>>>>>>>>> - CVE-2008-4690.patch removed
>>>>>>
>>>>>> To jeszcze faktycznie go usuń.
>>>>>
>>>>> jest uzywany na AC-branch, dlatego zostal.
>>>>
>>>> Aha, OK.
>>>
>>> A to:
>>>
>>> %triggerpostun -- %{name} < 2.8.6rel.5-4
>>> # for CVE-2008-4690
>>> %{__sed} -i -e '/^#TRUSTED_LYNXCGI:/s,^#,,' %{_sysconfdir}/lynx.cfg
>>>
>>> tak zostaje, to ciągle jest na czasie?
>>
>> nie wiem, nie umiem, ale chetnie sie dowiem.
>
> No ja też nie wiem, stąd pytam. Sprawdź konfig przed tym sedem i po.
> Czy ten sed spełnia jeszcze swoją rolę.
config jest nadal zmieniany, ale poprawki w zrodlach sprawiaja, ze ten
trigger jest nieaktualny. zgodnie z opisem CVE-2008-4690:
"lynx 2.8.6dev.15 and earlier, when advanced mode is enabled and lynx
is configured as a URL handler, allows remote attackers to execute
arbitrary commands via a crafted lynxcgi: URL, a related issue to
CVE-2005-2929. NOTE: this might only be a vulnerability in limited
deployments that have defined a lynxcgi: handler."
Więcej informacji o liście dyskusyjnej pld-devel-pl