[devel] severity "security"
Nikolay A. Fetisov
=?iso-8859-1?q?naf_=CE=C1_altlinux=2Eru?=
Пн Окт 2 23:40:29 MSD 2006
On Mon, 02 Oct 2006 20:10:09 +0300
Andrew Kornilov wrote:
> ....
> >Пойдите на http://cve.mitre.org/cve/ и посмотрите.
> >
> Там не всё. Вот только что приехала уязвимость на OpenVPN: DoS, System
> Access; на mitre.org её нет.
Пример не удачный, если Вы об этом:
http://secunia.com/advisories/22232/ ,
"The OpenVPN Windows Installer prior to 2.0.9 includes vulnerable
versions of the OpenSSL DLL files."
К сборкам OpenVPN в Sisyphus, Compact 3.0 и Master 2.4 данная
уязвимость отношения напрямую не имеет; ошибки в библиотеках
OpenSSL закрыты в Sisyphus и Master 2.4.
Просто так обновлять пакет до 2.0.9 я большого смысла не вижу, в
Unix-коде там не было изменений с 2.0.7, т.е. с апреля этого года.
> Что мне делать? Ждать, когда об этом узнает майнтейнер,
> повесить баг, пересобрать самому?
Как уже было сказано, наверное, стоило бы:
- сообщить майнтейнеру,
- повесить ошибку в bugzilla, с указанием источника сообщения об
уязвимости и описанием её,
- далее, по возможности/желанию/прочему - сборка исправленной версии, с
размещением патчей как приложений к ошибке.
--
С уважением,
Николай Фетисов
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20061002/5d032c2e/attachment-0001.bin>
Подробная информация о списке рассылки Devel