匿名 | ログイン | 新しいユーザーの作成 | 2024-12-05 10:39 JST |
メイン | マイビュー | 検索 | 変更履歴 | ロードマップ | Vine Linux ホーム |
コメント | |
(0000787) anonymous (参照) 2012-02-27 17:12 |
修正済みのパッケージを一時的に置いておきます (srcと6のみ) libpng-1.2.47-1 (src/x86/x86_64) CVE-2011-3026/VU#523889 http://178.18.250.134/rpm/security/libpng/ [^] jasper-1.900.1-9 (src/x86/x86_64) CVE-2007-2721 CVE-2008-3520 CVE-2008-3522 CVE-2011-4516/VU#887409 http://178.18.250.134/rpm/security/jasper/ [^] libvorbis-1.3.1-2 (src/x86/x86_64) CVE-2012-0444 http://178.18.250.134/rpm/security/libvorbis/ [^] エラッタにlibsoupに関した情報を見かけたが、実際なおされていませんと思う。 http://vinelinux.org/errata/6x/20120124-2.html [^] centos(/gnomeチーム)からのパッチ --- a/libsoup/soup-server.c +++ b/libsoup/soup-server.c @@ -779,6 +779,15 @@ got_headers (SoupMessage *req, SoupClientContext *client) uri = soup_message_get_uri (req); decoded_path = soup_uri_decode (uri->path); + + if (strstr (decoded_path, "/../") || + g_str_has_suffix (decoded_path, "/..")) { + /* Introducing new ".." segments is not allowed */ + g_free (decoded_path); + soup_message_set_status (req, SOUP_STATUS_BAD_REQUEST); + return; + } + soup_uri_set_path (uri, decoded_path); g_free (decoded_path); } |
(0000788) anonymous (参照) 2012-02-27 17:23 |
libsoupに関しては見間違いです、すみませんでした。 間違ってSRPMS.mainのパッケージを取得しました。 SRPMS.updatesのlibsoupは確かに修正されています。 |
(0000789) anonymous (参照) 2012-02-28 22:00 |
失礼ですが置いておきます。 libpng10-1.0.57-1 fix CVE-2011-3026/VU#523889 http://178.18.250.134/rpm/security/libpng10/ [^] openldap-2.4.23-3 fix CVE-2011-1024 fix CVE-2011-1025 fix CVE-2011-1081 fix CVE-2011-4079 http://178.18.250.134/rpm/security/openldap/ [^] gnutls-2.10.5-3 fix CVE-2011-4128 http://178.18.250.134/rpm/security/gnutls/ [^] telepathy-gabble-0.10.5-1 fix CVE-2011-1000 http://178.18.250.134/rpm/security/telepathy-gabble/ [^] pidgin-2.9.0-2 fix CVE-2011-4602 http://178.18.250.134/rpm/security/pidgin/ [^] もう少し放置されたら残りの4つも修正してみます。 |
(0000790) tomop (管理者) 2012-02-28 22:05 |
セキュリティ関連はこのBTSでは扱っていません。 Security Watch Teamへの参加をご検討ください。こちらでは 挙げていただいたもので対応作業中のものもあります。 http://vinelinux.org/securityteam.html [^] |
(0000791) anonymous (参照) 2012-02-29 16:22 |
非常に申し訳ありませんがどこで扱われるのかわかりませんのでやはり貼らせてもらいます。 >>1であげたものの他cvsとlibxmlのセキュリティ問題(どちらもlow)もなおした。 net-toolsはrhelからパッチを導入しました、主にsctpを対応するため。 cvs-1.12.13-5 (src/x86/x86_64) - fix CVE-2012-0804 http://178.18.250.134/rpm/security/cvs/ [^] libxml2-2.7.8-3 (src/x86/x86_64) - fix CVE-2012-0841 http://178.18.250.134/rpm/security/libxml2/ [^] rsyslog-5.6.5-2 (src/x86/x86_64) - fix CVE-2011-3200 http://178.18.250.134/rpm/security/rsyslog/ [^] acpid-2.0.14-1 (src/x86/x86_64) - update to 2.0.14 - fix CVE-2011-1159 http://178.18.250.134/rpm/security/acpid/ [^] rpm-4.8.1-4 (src/x86/x86_64) - fix CVE-2011-3378 - add BuildRequires: libtool - add BuildRequires: file-devel http://178.18.250.134/rpm/security/rpm/ [^] cups-1.4.6-3 (src/x86/x86_64) - fix CVE-2011-2896/CVE-2011-3170 http://178.18.250.134/rpm/security/cups/ [^] net-tools-1.60-15 (src/x86/x86_64) - import patch from rhel (-HAVE_SELINUX) - sctp patch included http://178.18.250.134/rpm/security/net-tools/ [^] これで全部なおしましたね。 あまりテストしていませんけど一応動きます。 |
(0000792) anonymous (参照) 2012-02-29 16:38 |
sctpのサンプルコードもあげておきます(python)。 import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0x84) s.bind(("127.0.0.1", 10000)) s.listen(10) s.accept() Cはsocket(AF_INET, SOCK_STREAM, IPPROTO_SCTP)でfdを作ればあとはtcpと同じ。 netstat -anp | grep sctp でパッチあてないと見えません。 |
(0000793) daisuke (管理者) 2012-02-29 17:12 |
セキュリティ関連はこのBTSでは扱っていません。 セキュリティチームでは非公開・登録制のメーリングリストとBTSで 作業を行なっています。 http://vinelinux.org/securityteam.html [^] 取り扱う内容の関係で、登録・参加するには原則として本人確認でき る何かが必要となります。よろしくお願いします。 本件については一旦閉じておきます。 |
課題の履歴 | |||
変更日 | ユーザー名 | 項目 | 変更内容 |
2012-02-26 17:03 | anonymous | 新規課題 | |
2012-02-27 17:12 | anonymous | コメント追加: 0000787 | |
2012-02-27 17:23 | anonymous | パッケージ | libpng jasper pidgin openldap libsoup gnutls telepathy-gabble rsyslog acpid cups rpm => libpng jasper pidgin openldap gnutls telepathy-gabble rsyslog acpid cups rpm |
2012-02-27 17:23 | anonymous | コメント追加: 0000788 | |
2012-02-28 22:00 | anonymous | コメント追加: 0000789 | |
2012-02-28 22:05 | tomop | コメント追加: 0000790 | |
2012-02-29 16:22 | anonymous | パッケージ | libpng jasper pidgin openldap gnutls telepathy-gabble rsyslog acpid cups rpm => libpng jasper pidgin openldap gnutls telepathy-gabble rsyslog acpid cups rpm cvs libxml2 net-tools |
2012-02-29 16:22 | anonymous | コメント追加: 0000791 | |
2012-02-29 16:38 | anonymous | コメント追加: 0000792 | |
2012-02-29 17:12 | daisuke | 状態 | 新規 => 完了 |
2012-02-29 17:12 | daisuke | 解決状況 | 不明 => 却下 |
2012-02-29 17:12 | daisuke | コメント追加: 0000793 |
Copyright © 2000 - 2024 MantisBT Team Copyright © 2012 - 2024 Project Vine |