[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sarge: This version of the ClamAV engine is outdated.

Am Freitag, den 08.07.2005, 00:44 +0200 schrieb Thomas Weinbrenner:
> Daniel Leidert wrote:
> 
> > Volatile ist _kein(!)_ offizieller Teil des Debian-Projekts und mit
> > Backports vergleichbar! Der Einsatz sollte daher gründlich überlegt und
> > abgewogen werden. Im Falle von ClamAV sehe ich nicht unbedingt
> > Handlungsbedarf. In diesem speziellen Fall kann der OP sich sogar selbst
> > ins Knie schießen. Die Volatile-Pakete werden aus den Sid-Quellen
> > gebaut. In Sid wurde aber ein Fehler, der für einen DoS genutzt werden
> > kann, noch gar nicht gefixt. 
> 
> Ach ja?

Ja. Und das wüsstest du, hättest du den von dir selbst per URL angegeben
Bug-Thread richtig durchgelesen oder nur ansatzweise auf die Tags
geachtet (#316401 ist mit "Sid" markiert!).

> > Dagegen wurden die Pakete auf security.d.o gepatcht. Die
> > Volatile-Pakete beherbergen also aktuell eine
> > Sicherheitslücke
> > (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401).
> 
> Schauen wir mal:

Muss ich nicht, ich habe den Bug gemeldet.

> | iDefense discovered several vulnerabilities in ClamAV (< 0.86) allowing
>                                                          ^^^^^^ 
> | attackers to cause a Denial of Service condition.
> 
> Aktuelle Clamav-Version in Sid:      0.86.1-2
> Aktuelle Clamav-Version in Volatile: 0.86.1-0volatile2
> 
> Wo ist das Problem?

Lies dir bitte die paar Mails unter
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401,
http://www.heise.de/security/news/meldung/61281 + die letzte Mail in
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316462 durch und du
wirst sehen, dass ich Recht habe. Du hast dem OP ein Paket mit einem
Exploit empfohlen. In dem Fall ist das Problem noch nicht so
schwerwiegend, wie ein möglicher remote Root-Exploit, demonstriert aber
die Schwäche des Volatile-Projekts. Volatile mag nützlich sein, um z.B.
debian-keyring in Sarge aktuell zu halten. Da es aber ansonsten nicht
offiziell zu Debian gehört und damit nicht in die Struktur eingebunden
ist, können jederzeit Sicherheitsprobleme auftreten, die man mit
offiziellen Sarge-Paketen nicht hätte.

MfG Daniel
Reply to: