<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Примеры записей в ченджлогах не соответствующие
документированному формату записей о закрытых уязвимостях:<br>
<br>
> - Security fixes<br>
> + CVE-2022-46880 Use-after-free in WebGL<br>
> + CVE-2022-46872 Arbitrary file read from a compromised
content process<br>
<br>
> - Fixes: CVE-2022-1708<br>
> - Security fixes:<br>
> + CVE-2022-37966: A Samba Active Directory DC will issue
weak rc4-hmac<br>
<br>
> - new version 16.18.1 (with rpmrb script)<br>
> - CVE-2022-43548: DNS rebinding in --inspect via invalid
octal IP address (Medium)<br>
<br>
> - New version.<br>
> - Fixed multiple client side input validation issues<br>
> (CVE-2022-39316, CVE-2022-39317, CVE-2022-39318,
CVE-2022-39319,<br>
> CVE-2022-39320, CVE-2022-41877, CVE-2022-39347).<br>
<br>
> - Fixes (CVE-2021-46790, CVE-2022-30783, CVE-2022-30784,
CVE-2022-30785,<br>
> CVE-2022-30786, CVE-2022-30787, CVE-2022-30788,
CVE-2022-30789,<br>
> CVE-2022-40284)<br>
<br>
> - Security fixes:<br>
> + CVE-2022-39276 : Blind SSRF in RSS feeds and planning<br>
> + CVE-2022-39372 : Stored XSS in user information<br>
> + CVE-2022-39373 : Stored XSS in entity name<br>
> + CVE-2022-39376 : Improper input validation on emails links<br>
<br>
Данные записи не соответствуют политике и существующий парсер не
определит их как действительно закрытые.<br>
<br>
Так же в парсере поддерживается короткий формат записи о закрытии
уязвимостей с указанием автора<br>
> (by sem@; fixes: CVE-2016-3189)<br>
<br>
Такой формат поддерживается парсером, но не описан в политике.</p>
<p><br>
</p>
<div class="moz-cite-prefix">07.02.2023 10:56, Anton Farygin пишет:<br>
</div>
<blockquote type="cite"
cite="mid:eeafcf84-831b-15f6-877a-5a1b5a7b1612@basealt.ru">On
07.02.2023 10:50, Anton Farygin wrote:
<br>
<blockquote type="cite">Всем привет.
<br>
<br>
Есть предложение сделать так, что бы пакеты, нарушающие это
Policy не проходили в репозиторий, при этом дополнить policy для
случаев, когда CVE надо упомянуть но не закрыть.
<br>
<br>
<a class="moz-txt-link-freetext" href="https://www.altlinux.org/Vulnerability_Policy">https://www.altlinux.org/Vulnerability_Policy</a>
<br>
<br>
Пример:
<br>
<br>
<a class="moz-txt-link-freetext" href="https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/">https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/</a>
<br>
<br>
</blockquote>
И, заодно, расширить Policy под такой формат.
<br>
<br>
<br>
_______________________________________________
<br>
Devel mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:Devel@lists.altlinux.org">Devel@lists.altlinux.org</a>
<br>
<a class="moz-txt-link-freetext" href="https://lists.altlinux.org/mailman/listinfo/devel">https://lists.altlinux.org/mailman/listinfo/devel</a><br>
</blockquote>
<div class="moz-signature">-- <br>
<pre style="color:gray;"><b>Данил Шеин / Danil Shein</b>
<a class="moz-txt-link-abbreviated" href="mailto:dshein@altlinux.org">dshein@altlinux.org</a>
<a class="moz-txt-link-abbreviated" href="mailto:dshein@basealt.ru">dshein@basealt.ru</a>
</pre>
</div>
</body>
</html>