Daniel Leidert wrote:
> Volatile ist _kein(!)_ offizieller Teil des Debian-Projekts und mit
> Backports vergleichbar! Der Einsatz sollte daher gründlich überlegt und
> abgewogen werden. Im Falle von ClamAV sehe ich nicht unbedingt
> Handlungsbedarf. In diesem speziellen Fall kann der OP sich sogar selbst
> ins Knie schießen. Die Volatile-Pakete werden aus den Sid-Quellen
> gebaut. In Sid wurde aber ein Fehler, der für einen DoS genutzt werden
> kann, noch gar nicht gefixt.
Ach ja?
> Dagegen wurden die Pakete auf security.d.o gepatcht. Die
> Volatile-Pakete beherbergen also aktuell eine
> Sicherheitslücke
> (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401).
Schauen wir mal:
| iDefense discovered several vulnerabilities in ClamAV (< 0.86) allowing
^^^^^^
| attackers to cause a Denial of Service condition.
Aktuelle Clamav-Version in Sid: 0.86.1-2
Aktuelle Clamav-Version in Volatile: 0.86.1-0volatile2
Wo ist das Problem?
--
Thomas Weinbrenner
Attachment:
pgpFqlWOkbOlN.pgp
Description: PGP signature