[devel] Нарушения Vulnerability Policy

Danil Shein dshein на basealt.ru
Вт Фев 7 11:14:25 MSK 2023 

Примеры записей в ченджлогах не соответствующие документированному 
формату записей о закрытых уязвимостях:

 > - Security fixes
 >   + CVE-2022-46880 Use-after-free in WebGL
 >   + CVE-2022-46872 Arbitrary file read from a compromised content process

 > - Fixes: CVE-2022-1708
 > - Security fixes:
 >   + CVE-2022-37966: A Samba Active Directory DC will issue weak rc4-hmac

 > - new version 16.18.1 (with rpmrb script)
 > - CVE-2022-43548: DNS rebinding in --inspect via invalid octal IP 
address (Medium)

 > - New version.
 > - Fixed multiple client side input validation issues
 >   (CVE-2022-39316, CVE-2022-39317, CVE-2022-39318, CVE-2022-39319,
 >   CVE-2022-39320, CVE-2022-41877, CVE-2022-39347).

 > - Fixes (CVE-2021-46790, CVE-2022-30783, CVE-2022-30784, CVE-2022-30785,
 >   CVE-2022-30786, CVE-2022-30787, CVE-2022-30788, CVE-2022-30789,
 >   CVE-2022-40284)

 > - Security fixes:
 >  + CVE-2022-39276 : Blind SSRF in RSS feeds and planning
 >  + CVE-2022-39372 : Stored XSS in user information
 >  + CVE-2022-39373 : Stored XSS in entity name
 >  + CVE-2022-39376 : Improper input validation on emails links

Данные записи не соответствуют политике и существующий парсер не 
определит их как действительно закрытые.

Так же в парсере поддерживается короткий формат записи о закрытии 
уязвимостей с указанием автора
 > (by sem@; fixes: CVE-2016-3189)

Такой формат поддерживается парсером, но не описан в политике.


07.02.2023 10:56, Anton Farygin пишет:
> On 07.02.2023 10:50, Anton Farygin wrote:
>> Всем привет.
>>
>> Есть предложение сделать так, что бы пакеты, нарушающие это Policy не 
>> проходили в репозиторий, при этом дополнить policy для случаев, когда 
>> CVE надо упомянуть но не закрыть.
>>
>> https://www.altlinux.org/Vulnerability_Policy
>>
>> Пример:
>>
>> https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/
>>
> И, заодно, расширить Policy под такой формат.
>
>
> _______________________________________________
> Devel mailing list
> Devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
-- 

*Данил Шеин / Danil Shein*

dshein на altlinux.org
dshein на basealt.ru
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20230207/82b380dc/attachment.html>

Подробная информация о списке рассылки Devel