<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Примеры запиÑей в ченджлогах не ÑоответÑтвующие
документированному формату запиÑей о закрытых уÑзвимоÑÑ‚ÑÑ…:<br>
<br>
> - Security fixes<br>
>Â Â + CVE-2022-46880 Use-after-free in WebGL<br>
>Â Â + CVE-2022-46872 Arbitrary file read from a compromised
content process<br>
<br>
> - Fixes: CVE-2022-1708<br>
> - Security fixes:<br>
>Â Â + CVE-2022-37966: A Samba Active Directory DC will issue
weak rc4-hmac<br>
<br>
> - new version 16.18.1 (with rpmrb script)<br>
> - CVE-2022-43548: DNS rebinding in --inspect via invalid
octal IP address (Medium)<br>
<br>
> - New version.<br>
> - Fixed multiple client side input validation issues<br>
>Â Â (CVE-2022-39316, CVE-2022-39317, CVE-2022-39318,
CVE-2022-39319,<br>
>Â Â CVE-2022-39320, CVE-2022-41877, CVE-2022-39347).<br>
<br>
> - Fixes (CVE-2021-46790, CVE-2022-30783, CVE-2022-30784,
CVE-2022-30785,<br>
>Â Â CVE-2022-30786, CVE-2022-30787, CVE-2022-30788,
CVE-2022-30789,<br>
>Â Â CVE-2022-40284)<br>
<br>
> - Security fixes:<br>
>Â + CVE-2022-39276 : Blind SSRF in RSS feeds and planning<br>
>Â + CVE-2022-39372 : Stored XSS in user information<br>
>Â + CVE-2022-39373 : Stored XSS in entity name<br>
>Â + CVE-2022-39376 : Improper input validation on emails links<br>
<br>
Данные запиÑи не ÑоответÑтвуют политике и ÑущеÑтвующий парÑер не
определит их как дейÑтвительно закрытые.<br>
<br>
Так же в парÑере поддерживаетÑÑ ÐºÐ¾Ñ€Ð¾Ñ‚ÐºÐ¸Ð¹ формат запиÑи о закрытии
уÑзвимоÑтей Ñ ÑƒÐºÐ°Ð·Ð°Ð½Ð¸ÐµÐ¼ автора<br>
> (by sem@; fixes: CVE-2016-3189)<br>
<br>
Такой формат поддерживаетÑÑ Ð¿Ð°Ñ€Ñером, но не опиÑан в политике.</p>
<p><br>
</p>
<div class="moz-cite-prefix">07.02.2023 10:56, Anton Farygin пишет:<br>
</div>
<blockquote type="cite"
cite="mid:eeafcf84-831b-15f6-877a-5a1b5a7b1612@basealt.ru">On
07.02.2023 10:50, Anton Farygin wrote:
<br>
<blockquote type="cite">Ð’Ñем привет.
<br>
<br>
ЕÑÑ‚ÑŒ предложение Ñделать так, что бы пакеты, нарушающие Ñто
Policy не проходили в репозиторий, при Ñтом дополнить policy длÑ
Ñлучаев, когда CVE надо упомÑнуть но не закрыть.
<br>
<br>
<a class="moz-txt-link-freetext" href="https://www.altlinux.org/Vulnerability_Policy">https://www.altlinux.org/Vulnerability_Policy</a>
<br>
<br>
Пример:
<br>
<br>
<a class="moz-txt-link-freetext" href="https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/">https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/</a>
<br>
<br>
</blockquote>
И, заодно, раÑширить Policy под такой формат.
<br>
<br>
<br>
_______________________________________________
<br>
Devel mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:Devel@lists.altlinux.org">Devel@lists.altlinux.org</a>
<br>
<a class="moz-txt-link-freetext" href="https://lists.altlinux.org/mailman/listinfo/devel">https://lists.altlinux.org/mailman/listinfo/devel</a><br>
</blockquote>
<div class="moz-signature">-- <br>
<pre style="color:gray;"><b>Данил Шеин / Danil Shein</b>
<a class="moz-txt-link-abbreviated" href="mailto:dshein@altlinux.org">dshein@altlinux.org</a>
<a class="moz-txt-link-abbreviated" href="mailto:dshein@basealt.ru">dshein@basealt.ru</a>
</pre>
</div>
</body>
</html>