Re: Вопросы новичка
Sergey Velikanov wrote:
начал склонятьс в пользу тестинг, особенно убедил сдел случай (или я
просто чего-то не увидел?)
в середине декабря стало известно что в php проблемы с безопасностью
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1065
CVE Information:
Buffer overflow in the exif_read_data function in PHP before 4.3.10
and PHP 5.x up to 5.0.2 allows remote attackers to execute arbitrary code
via a long section name in an image file.
теперь смотрим debian changelog для ветки тестинг
php4 (4:4.3.10-1) unstable; urgency=high
* New upstream release, including the following security fixes:
- CAN-2004-1018 - integer overflow/underflow in pack() and unpack()
functions.
- CAN-2004-1065 - exif_read_data() overflow on long sectionname.
.....
-- Adam Conrad <adconrad@0c3.net> Wed, 15 Dec 2004 17:17:40 -0700
смотрим changelog для стейбл
php4 (4:4.1.2-7) stable-security; urgency=high
^^^^^^^^^^^^^^^
* Backport of several security fixes from the 4.3 branch:
- Addresses CAN-2004-0594, CAN-2004-0595 (closes: #259351, #259685)
- Backported _CHECK_MEMORY_LIMIT routine from 4.3.8
....
-- Adam Conrad <adconrad@0c3.net> Mon, 19 Jul 2004 06:33:21 -0600
те в пакете для стейбл проблему не исправили, так??
Как раз последняя запись о том, что уязвимость в stable исправлена.
Дело в том, что в традиции очень многих разработчиков (в т.ч. и php)
вносить security изменения только в последнюю версию.
Поэтому, код, исправляющий уязвимость был взят из 4.3.8 и перенесен
(backported) в 4.1.2-7 (последнее число после '-' - это номер
Дебиановской ревизии).
Для security update`ов для stable существует специальный репозитарий.
deb http://security.debian.org/ stable/updates main
Надо обновляться с него чем чаще, тем лучше.
См. man apt-get.
--
WBR, Nickolai Zhuravlev
p.s.
>To: Artem Chuprina <debian-russian@lists.debian.org>
сильно :-)
или это the bat сам?
Reply to: