[Security-team] q: вопрос по свежим дырам с securityfocus.com
Vladimir Lettiev
crux на gorodmasterov.com
Пн Дек 5 16:09:29 MSK 2005
Igor Muratov пишет:
> Vladimir Lettiev пишет:
>>mailman: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3573
>>
>>Майнтейнеры этих пакетов: Victor Forsyuk (force@) и Igor Muratov
>>(migor@) соотвественно. Я делаю CC на них в надежде, что в приемлемое
>>время они смогут подготовить обновление для ALM24, а в случае mailman
>>и для Sisyphus.
>>
> Обновление для mailman в мастере сделано еще неделю назад... но
> почему-то Дима его не выложил...
> Для сизифа это не актуально т.к. там давно уже версия 2.1.6 в которой
> этот код переработан
Я мог ошибиться, т.к. не смотрел проблемный код. Но я читал здесь,
цитирую http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=327732;msg=17
...
This bug likely is _not_ fixed in mailman 2.1.6
...
А вот здесь http://www.securityfocus.com/advisories/9798
сообщение от Мандривы:
Scrubber.py in Mailman 2.1.4 - 2.1.6 does not properly handle UTF8
сharacter encodings in filenames of e-mail attachments, which allows
remote attackers to cause a denial of service. (CVE-2005-3573)
p.s. чтоб не быть голословным я всё-таки попробую проверить это...
--
С уважением, Владимир Леттиев aka crux <crux на gorodmasterov.com>
Подробная информация о списке рассылки Security-team