Re: Mise a jour de securite paquet gzip 1.3.2-3woody4 ?

To: debian-user-french@lists.debian.org
Subject: Re: Mise a jour de securite paquet gzip 1.3.2-3woody4 ?
From: Frédéric Bothamy <frederic.bothamy@free.fr>
Date: Fri, 17 Jun 2005 14:26:41 +0200
Message-id: <[🔎] 20050617122641.GL32201@athena.olympe.fr>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 42AAD4F2.4090600@plouf.fr.eu.org>
References: <[🔎] 42AAD4F2.4090600@plouf.fr.eu.org>

* Pascal@plouf <pascal.mail@plouf.fr.eu.org> [2005-06-11 14:11] :
> Salut à tous,

Salut [avec un peu de retard],

> Je laisse ma passerelle en Woody devenue oldstable encore quelques temps 
> en attendant de valider la migration en Sarge sur une machine de test. Et 
> apparemment une mise à jour de sécurité du paquet gzip pour Woody est 
> disponible depuis le 03/06/2005. Mais :
> 
> - aucune annonce n'a été publiée sur la page sécurité du site web 
> http://www.debian.org/security ni dans la liste de diffusion 
> debian-security-announce
> 
> - la version précédente 1.3.2-3woody3 coexiste à côté de la nouvelle dans 
>  le site des paquets packages.debian.org 
> (http://packages.debian.org/cgi-bin/search_packages.pl?keywords=gzip&searchon=names&version=oldstable&release=all).
> 
> Tout ce que je trouve est une page d'un site japonais qui cite ce qui 
> ressemble à un extrait de changelog.
> 
> http://www.deer-n-horse.jp/linux/diary :
> 
> "gzip (1.3.2-3woody4) stable-security; urgency=high
> 
>   * Non-maintainer upload by the Security Team
>   * Applied patch by Steve Grub to fix premission setting race condition
>     [gzip.c, CAN-2005-0988]
>   * Applied patch by Ulf Hnhammar to fix directory traversal
>     problem[gzip.c, CAN-2005-1228, Bug#305255]
> 
>  -- Martin Schulze   Thu,  2 Jun 2005 16:26:06 +0200"
> 
> Changelog qui est introuvable sur le site web de Debian, le répertoire 
> http://packages.debian.org/changelogs/pool/main/g/gzip/gzip_1.3.2-3woody4/ 
> pointé dans http://packages.debian.org/oldstable/base/gzip n'existant pas.

Ce n'est pas tout à fait exact : tu peux récupérer le fichier .deb
depuis security.debian.org et en extraire le changelog.Debian.gz.
 
> Une explication ?
> Que vaut cette mise à jour ?

À mon avis, la sortie de Sarge a un peu perturbé le fonctionnement des
mises à jour de sécurité pour Woody et Sarge (qui normalement devait
fonctionner auparavant pour les 2 distributions).

Voir ce message du blog de Martin Schulze (qui appartient à l'équipe de
sécurité Debian) :
http://www.infodrom.org/~joey/log/?200506142140

Par contre, ce qui est un peu encourageant, c'est dans ce fil
(http://lists.debian.org/debian-security/2005/06/msg00055.html) de
discussion qui évoque ce problème, ce message :
http://lists.debian.org/debian-security/2005/06/msg00075.html

  Rumors suggest that the technical foundations of security support for
  sarge and woody are working again.


C'est tout de même un peu inquiétant que l'on puisse se retrouver sans
suivi de sécurité pendant deux semaines... Et pas d'autres infos sur
debian-security.


Fred

-- 
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

Reply to:

References:
- Mise a jour de securite paquet gzip 1.3.2-3woody4 ?
  - From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>

Prev by Date: [HS] gnome et windows
Next by Date: Re: [Sarge 3.1] VirtualHost sur Apache2
Previous by thread: Mise a jour de securite paquet gzip 1.3.2-3woody4 ?
Next by thread: Gestion de plusieurs sites web sous debian.
Index(es):
- Date
- Thread