security w PLD

Arkadiusz Miskiewicz misiek w pld.ORG.PL
Wto, 12 Mar 2002, 13:34:21 CET 

Tomek wyskoczył dziś z:
11:35 -!- kloczek changed the topic of #pld to: Kanał Developerów PLD | dzisiaj najpóźniej jutro do połdnia bezie zamkniecie 1.0

a tu mamy trochę buraków security:

* zlib
http://online.securityfocus.com/advisories/3944
http://online.securityfocus.com/advisories/3943
http://online.securityfocus.com/advisories/3941
http://online.securityfocus.com/advisories/3940

lista podatnych pakietów:
zlib    (poprawiony w cvsie ale na moje oko zburaczony gdzieś wcześniej
         pomiędzy rel 25-30, może 1.1.4 będzie ok)
rsync   (dziurawy; fix - update do 2.5.3; zawiera zmodyfikowanego zliba)
rrdtool (dziurawy; fix - prawdopodobnie linkowanie dynamiczne z systemowym
         będzie poprawne (wygląda na to, że nie było modyfikacji w tamtejszym
         zlibie))
freeamp (dziurawy; fix - patchowanie wewnętrznego zliba)
netscape(dziurawy; fix - czekanie na netscape.com)
vnc     (dziurawy; fix - używanie systemowej lib patchowanie wewnętrznego)
kernel  (dziruawy 2.2 jak i 2.4; fix - zrobienie łatki poprawiającej
         wewnętrzną implementację zliba)
rpm     (dziurawy; fix - patchowanie wewnętrznego zliba)
gcc     (afaik używa własnego zliba; fix - linkowanie dynamiczne z systemowym)
aide    (dziurawy; fix - rekompilacja z poprawionym zlib (statycznie się linkuje)
sash    (dziurawy; jw)

* radiusd-cistron
http://online.securityfocus.com/advisories/3926
http://online.securityfocus.com/advisories/3918

fix - update do conajmniej 1.6.6

* uucp
http://online.securityfocus.com/advisories/3880
http://lwn.net/alerts/Debian/DSA-079-2.php3

fix - dodanie łatki od autora

* enscript
http://lwn.net/alerts/Debian/DSA-105-1.php3

fix - być może update do 1.6.3 (z tym, że to jest beta)

* ghostscript
http://www.cs.wisc.edu/~ghost/doc/AFPL/new704.htm

fix - update to 7.04

* fileutils
http://isec.pl/vulnerabilities.html#0002

mamy poprawione w cvsie

* tmpwatch

poprawione w cvsie (oj, tu to po prostu wstyd)

* listar/ecartis
http://isec.pl/vulnerabilities.html#0001

fix - przejście na snapshot ecatris

Być może są jeszcze jakieś buraki ale jakoś nie kojarzę aktualnie.

ps. kto ma ochotę niech poprawia
-- 
Arkadiusz Miśkiewicz   IPv6 ready PLD Linux at http://www.pld.org.pl
misiek(at)pld.org.pl   AM2-6BONE, 1024/3DB19BBD, arekm(at)ircnet, PWr

Więcej informacji o liście dyskusyjnej pld-devel-pl