[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sarge: This version of the ClamAV engine is outdated.

Am Samstag, den 16.07.2005, 13:44 +0200 schrieb Daniel Leidert: 
> Am Freitag, den 15.07.2005, 11:03 +0200 schrieb Andreas Barth:
> > * Christian Schulte (cs@schulte.it) [050715 10:12]:
> > > Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein 
> > > Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes 
> > > Sicherheitsloch.
> > 
> > Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile
> > nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für
> > security.d.o, Sicherheitslöcher in clamav zu schliessen.)
> 
> Sieht sogar danach aus, als wäre der in
> http://www.idefense.com/application/poi/display?id=275&type=vulnerabilities&flashstatus=true als angreifbar bezeichnete Code auch noch in Sarge vorhanden (Vergleich zwischen clamav-0.84/libclamav/mspack/mszipd.c und genanntem Schriftstück zeigt keinerlei Differenzen).

FTR: Nach erneuten Rücksprachen und Nachfragen: CAN-2005-1923 wurde wohl
an anderer Stelle gefixt (libclamav/mspack/cabd.c) und scheint damit
tatsächlich in allen Versionen für Debian behoben zu sein.

MfG Daniel
Reply to: