dziury z 5 i 12 VIII 2002
Jakub Bogusz
qboosh w pld.org.pl
Pią, 16 Sie 2002, 14:24:20 CEST
On Fri, Aug 16, 2002 at 02:09:50PM +0200, Blues wrote:
> Co z tym? Wersja u nas jest dziurawa! Wydana jest poprawiona wersja 1.2.1
> 13. mm library
>
> Vendor: Engelschall, Ralf S.
>
> A vulnerability was reported in the 'mm' shared memory
> allocation library. A local user may be able to obtain elevated
> privileges on the system.
>
> Impact: Root access via local system
>
> Alert: http://securitytracker.com/alerts/2002/Jul/1004888.html
1.1.3-5 nie jest dziurawa. Ale nad 1.2.1 warto się zastanowić.
[openssl]
> mamy poprawioną wersję (BTW. wydana dzisiaj jest wersja g)
I różni się od f głównie poprawkami w makefile, które mamy w patchu :)
> Co z tym? Coś mi świta, że dzimi poprawiał, ale... nie jestem pewien...
> 19. Util-linux
[...]
Poprawiał, ale i tak niepotrzebnie :)
U nas ch* są brane z shadow, a nie util-linux.
> A temu to należy się BARDZO UWAŻNIE przyjrzeć... są niepokojące.
> 17. libc
>
> Vendor: GNU [multiple authors]
>
> A vulnerability was reported in the GNU libc runtime library,
> as well as several C, C++, and Ada compilers and runtime libraries.
> The calloc() function and other similar functions contain an
> integer overflow that may possibly result in a buffer overflow in a
> linked application.
>
> Impact: Execution of arbitrary code via local system
>
> Alert: http://securitytracker.com/alerts/2002/Aug/1004982.html
>
> 18. GNU C++ Compiler (GCC)
>
> Vendor: GNU [multiple authors]
>
> A vulnerability was reported in the GNU C++ Compiler (gcc), as
> well as several C, C++, and Ada compilers and runtime libraries.
> The calloc() function and other similar functions contain an
> integer overflow that may possibly result in a buffer overflow in a
> compiled application.
>
> Impact: Execution of arbitrary code via local system
>
> Alert: http://securitytracker.com/alerts/2002/Aug/1004981.html
Bleh... później popatrzę.
--
Jakub Bogusz
Więcej informacji o liście dyskusyjnej pld-devel-pl