[Security-team] I: bzip2 1.0.4
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Сб Янв 6 19:08:24 MSK 2007
On Sat, Jan 06, 2007 at 06:40:43PM +0300, Slava Semushin wrote:
> JFYI. Хотя, скорее всего, ldv@ и без меня в курсе :)
А как же. :)
> Покопался в чейнджлоге и не понял закрыты ли у нас эти дырочки. Может и
> запатчены, но сходу упоминаний не увидел.
>
> ---------- Forwarded message ----------
> From: Thomas Klausner <wiz / netbsd.org>
> Date: 06.01.2007 18:34
> Subject: CVS commit: pkgsrc/archivers/bzip2
> To: pkgsrc-changes / netbsd.org
>
>
> Module Name: pkgsrc
> Committed By: wiz
> Date: Sat Jan 6 15:34:37 UTC 2007
>
> Modified Files:
> pkgsrc/archivers/bzip2: Makefile distinfo
> pkgsrc/archivers/bzip2/patches: patch-aa
>
> Log Message:
> Update to 1.0.4:
>
> 1.0.4 (20 Dec 06)
> ~~~~~~~~~~~~~~~~~
> Fixes some minor bugs since the last version, 1.0.3.
>
> * Fix file permissions race problem (CAN-2005-0953).
Я это исправил в bzip2-1.0.3-alt1.
> * Avoid possible segfault in BZ2_bzclose. From Coverity's NetBSD
> scan.
Речь идёт о падении при вызове BZ2_bzclose(NULL).
Может и ошибка, но не security sensitive.
> * 'const'/prototype cleanups in the C code.
Это приятно.
> * Change default install location to /usr/local, and handle multiple
> 'make install's without error.
Это несущественно.
> * Sanitise file names more carefully in bzgrep. Fixes CAN-2005-0758
> to the extent that applies to bzgrep.
Это я исправил в gzip-utils-1.3.5-alt1.
> * Use 'mktemp' rather than 'tempfile' in bzdiff.
Это я исправил так давно что уже не помню.
> * Tighten up a couple of assertions in blocksort.c following automated
> analysis.
>
> * Fix minor doc/comment bugs.
Это приятно.
Резюмируя, собирать bzip2-1.0.4 в качестве security update не имеет
смысла.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/security-team/attachments/20070106/200a936b/attachment-0003.bin>
Подробная информация о списке рассылки Security-team