Bezpecnostni dira v podobe apt-setup?
|
To |
CZ-debian list <czdebian-l zavinac debian bod cz> |
|
From |
Vaclav Ovsik <Vaclav bod Ovsik zavinac i bod cz> |
|
Date |
Mon, 7 Oct 2002 13:13:12 +0200 |
|
Mail-followup-to |
Vaclav Ovsik <Vaclav bod Ovsik zavinac i bod cz>, CZ-debian list <czdebian-l zavinac debian bod cz> |
|
User-agent |
Mutt/1.3.28i |
Zdravim,
mel bych namet na diskuzi ohledne $subj.
Dostalo se ke me, ze Debian stable ma v distribuci vulnerable openssl
0.9.6c, sice opatchovane, ale stale vulnerable, vystavene na
security.debian.org. Ja opacil, ze posledni balik je preci
0.9.6g-0.woody.1.
A tady jsme narazili, ze ja mam ve svem sources.list v /etc/apt
uvedene narozdil od jinych proposed-updates - (sources.list si edituji
rucne). Pochopitelne jsem se tedy ohradil, ze "to ma blbe nastavene",
kdyz si tam nedal ty proposed-updates. Ovsem on opacil, ze timto
zpusobem ho k nastaveni navedl apt-setup!
Zkusil jsem - a skutecne apt-setup nenabizi proposed-updates!
Takze - bud jsem neco blbe pochopil a vsechny updaty maji jit pres
security.debian.org (coz jsem tvrdil kolegovi, ze tak tomu byt nemusi),
nebo je v Debainu docela pekna dira v podobe apt-setup, ktery vyrobi
nekompletni sources.list.
Zrovna v pripade toho openssl (libssl, ...) je to docela pruserova
zalezitost, protoze Inetem putuje nejaky ten cerv, co pouziva chybu
v ASN.1 a verze openssl & friends ze security.debian.org je vulnerable
(kolega to testoval).
Je to tedy na bugreport nebo jsme neco prehledli?
--
Zito
Partial thread listing: