[Security-team] q: вопрос по свежим дырам с securityfocus.com

[Vladimir Lettiev]

Igor Muratov пишет:
> Vladimir Lettiev пишет:
>>mailman: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3573
>>
>>Майнтейнеры этих пакетов: Victor Forsyuk (force@) и Igor Muratov
>>(migor@) соотвественно. Я делаю CC на них в надежде, что в приемлемое
>>время они смогут подготовить обновление для ALM24, а в случае mailman
>>и для Sisyphus.
>>
> Обновление для mailman в мастере сделано еще неделю назад... но
> почему-то Дима его не выложил...
> Для сизифа это не актуально т.к. там давно уже версия 2.1.6 в которой
> этот код переработан

Я мог ошибиться, т.к. не смотрел проблемный код. Но я читал здесь,
цитирую http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=327732;msg=17
...
This bug likely is _not_ fixed in mailman 2.1.6
...

А вот здесь http://www.securityfocus.com/advisories/9798
сообщение от Мандривы:
Scrubber.py in Mailman 2.1.4 - 2.1.6 does not properly handle UTF8
сharacter encodings in filenames of e-mail attachments, which allows
remote attackers to cause a denial of service. (CVE-2005-3573)


p.s. чтоб не быть голословным я всё-таки попробую проверить это...


-- 
С уважением, Владимир Леттиев aka crux <crux на gorodmasterov.com>