Re: Plus d'un an pour une mise à jour de sécurité!
* Vincent Lefevre <vincent@vinc17.org> [2005-11-04 01:03] :
> Bonjour,
>
> Lors de l'upgrade de ce soir pour testing, il y a notamment:
>
> Inst imlib-base [1.9.14-16.2] (1.9.14-24 Debian:testing)
^^^^^^^^^^^
Note le numéro de version de départ.
[...]
> imlib (1.9.14-17.1) unstable; urgency=high
>
> * Non-maintainer upload.
> * High-urgency upload for sarge-targetted RC bugfix
> * CAN-2004-1026: fix various overflows in image decoding routines.
> Closes: #284925.
>
> -- Steve Langasek <vorlon@debian.org> Thu, 16 Dec 2004 05:57:41 -0800
>
> imlib (1.9.14-17) unstable; urgency=high
>
> * Applied patch by Marcus Meissner <meissner@suse.de> to fix arbitrary
> code execution through a heap overflow [gdk_imlib/io-bmp.c,
> CAN-2004-0817, http://bugzilla.gnome.org/show_bug.cgi?id=151034]
>
> * imlib.m4: Quote macros AM_PATH_IMLIB and AM_PATH_GDK_IMLIB.
> Closes: #267804.
>
> -- Steve M. Robbins <smr@debian.org> Tue, 31 Aug 2004 19:50:02 -0400
>
> Bref, la mise à jour de sécurité du 31 août 2004 (pourtant en
> urgency=high) n'arrive dans testing que maintenant!
Non, c'est simplement un artifice de numéro de version : comme tu
partais de la version 1.9.14-16.2, celle-ci contenait déjà les
corrections de sécurité incluses dans la version provenant d'unstable
(cf.
http://packages.debian.org/changelogs/pool/main/i/imlib+png2/imlib+png2_1.9.14-16.2/changelog),
respectivement dans les versions 1.9.14-16.1 pour CAN-2004-1026 et
1.9.14-16 ainsi que 1.9.14-16.2 pour CAN-2004-0817.
Enfin, la sécurité de testing n'est pas assurée pour l'archive
principale, elle est simplement tentée par l'équipe en charge de
celle-ci à http://secure-testing-master.debian.net/ (avec une source
externe).
Fred
--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html
Reply to: