[devel] severity "security"

Nikolay A. Fetisov naf altlinux.ru
2 23:40:29 MSD 2006


On Mon, 02 Oct 2006 20:10:09 +0300
Andrew Kornilov wrote:

> ....
> >Пойдите на http://cve.mitre.org/cve/ и посмотрите.
> >  
> Там не всё. Вот только что приехала уязвимость на OpenVPN: DoS, System 
> Access; на mitre.org её нет. 

Пример не удачный, если Вы об этом:
http://secunia.com/advisories/22232/ ,
"The OpenVPN Windows Installer prior to 2.0.9 includes vulnerable
versions of the OpenSSL DLL files."

К сборкам OpenVPN в Sisyphus, Compact 3.0 и Master 2.4 данная
уязвимость отношения напрямую не имеет; ошибки в библиотеках
OpenSSL закрыты в Sisyphus и Master 2.4.

Просто так обновлять пакет до 2.0.9 я большого смысла не вижу, в
Unix-коде там не было изменений с 2.0.7, т.е. с  апреля этого года.


> Что мне делать? Ждать, когда об этом узнает майнтейнер, 
> повесить баг, пересобрать самому?

Как уже было сказано, наверное, стоило бы:
- сообщить майнтейнеру,
- повесить ошибку в bugzilla, с указанием источника сообщения об
уязвимости и описанием её,
- далее, по возможности/желанию/прочему - сборка исправленной версии, с
размещением патчей как приложений к ошибке.


-- 
С уважением,	
Николай Фетисов
-----------   -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.org/pipermail/devel/attachments/20061002/5d032c2e/attachment-0001.bin 


Devel