security w PLD
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Śro, 20 Mar 2002, 18:11:11 CET
On 12 Mar 2002, Arkadiusz Miskiewicz wrote:
>
> Tomek wyskoczył dziś z:
> 11:35 -!- kloczek changed the topic of #pld to: Kanał Developerów PLD | dzisiaj najpóźniej jutro do połdnia bezie zamkniecie 1.0
>
> a tu mamy trochę buraków security:
>
> * zlib
> http://online.securityfocus.com/advisories/3944
> http://online.securityfocus.com/advisories/3943
> http://online.securityfocus.com/advisories/3941
> http://online.securityfocus.com/advisories/3940
>
> lista podatnych pakietów:
> zlib (poprawiony w cvsie ale na moje oko zburaczony gdzieś wcześniej
> pomiędzy rel 25-30, może 1.1.4 będzie ok)
> rsync (dziurawy; fix - update do 2.5.3; zawiera zmodyfikowanego zliba)
> rrdtool (dziurawy; fix - prawdopodobnie linkowanie dynamiczne z systemowym
> będzie poprawne (wygląda na to, że nie było modyfikacji w tamtejszym
> zlibie))
Zrobione.
> freeamp (dziurawy; fix - patchowanie wewnętrznego zliba)
Poszło na buildery.
> netscape(dziurawy; fix - czekanie na netscape.com)
Szkapę najchętniej bym wywalił. W końcu mozilla w niczym raczje nie
ustępuje szkapie. Przy okazji odpadłoby używanie libstdc++-compat.
> vnc (dziurawy; fix - używanie systemowej lib patchowanie wewnętrznego)
Poszło do przebudowania.
> kernel (dziruawy 2.2 jak i 2.4; fix - zrobienie łatki poprawiającej
> wewnętrzną implementację zliba)
> rpm (dziurawy; fix - patchowanie wewnętrznego zliba)
> gcc (afaik używa własnego zliba; fix - linkowanie dynamiczne z systemowym)
Nasz gcc wogóle nie ma śladów używania zliba (przynajmneij tak wynika z
buildloga).
> aide (dziurawy; fix - rekompilacja z poprawionym zlib (statycznie się linkuje)
> sash (dziurawy; jw)
Zrobione.
>
> * radiusd-cistron
> http://online.securityfocus.com/advisories/3926
> http://online.securityfocus.com/advisories/3918
tego jak na razie na ftp nie mamy.
>
> fix - update do conajmniej 1.6.6
>
> * uucp
> http://online.securityfocus.com/advisories/3880
> http://lwn.net/alerts/Debian/DSA-079-2.php3
>
> fix - dodanie łatki od autora
Tego też.
> * enscript
> http://lwn.net/alerts/Debian/DSA-105-1.php3
>
> fix - być może update do 1.6.3 (z tym, że to jest beta)
Zrobione.
>
> * ghostscript
> http://www.cs.wisc.edu/~ghost/doc/AFPL/new704.htm
>
> fix - update to 7.04
w commit logu jest:
revision 1.78
date: 2002/03/14 11:40:34; author: wrobell; state: Exp; lines: +5 -1
- will compile, when find_devs madness is resolved
- nfy
Co tu jeszcze brakuje ?
> * fileutils
> http://isec.pl/vulnerabilities.html#0002
>
> mamy poprawione w cvsie
Jest juz na ftp.
> * tmpwatch
>
> poprawione w cvsie (oj, tu to po prostu wstyd)
jw.
>
> * listar/ecartis
> http://isec.pl/vulnerabilities.html#0001
>
> fix - przejście na snapshot ecatris
>
> Być może są jeszcze jakieś buraki ale jakoś nie kojarzę aktualnie.
>
> ps. kto ma ochotę niech poprawia
Wychodzi na to że to zostały tylko listar i ghosctipt. Mógłby ktoś
zrobić listara kto się orientuje w tym pakiecie ?
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl