Re: Sarge: This version of the ClamAV engine is outdated.
* Daniel Leidert (daniel.leidert.spam@gmx.net) [050726 00:38]:
> Am Samstag, den 16.07.2005, 13:44 +0200 schrieb Daniel Leidert:
> > Am Freitag, den 15.07.2005, 11:03 +0200 schrieb Andreas Barth:
> > > * Christian Schulte (cs@schulte.it) [050715 10:12]:
> > > > Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein
> > > > Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes
> > > > Sicherheitsloch.
> > >
> > > Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile
> > > nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für
> > > security.d.o, Sicherheitslöcher in clamav zu schliessen.)
> >
> > Sieht sogar danach aus, als wäre der in
> > http://www.idefense.com/application/poi/display?id=275&type=vulnerabilities&flashstatus=true als angreifbar bezeichnete Code auch noch in Sarge vorhanden (Vergleich zwischen clamav-0.84/libclamav/mspack/mszipd.c und genanntem Schriftstück zeigt keinerlei Differenzen).
>
> FTR: Nach erneuten Rücksprachen und Nachfragen: CAN-2005-1923 wurde wohl
> an anderer Stelle gefixt (libclamav/mspack/cabd.c) und scheint damit
> tatsächlich in allen Versionen für Debian behoben zu sein.
Bei Clamav ist das Probleme eher, das es nicht zu allen
Sicherheitslöchern cvs ids gibt, und das diese praktisch niemals im
Upstream Changelog stehen. Wenn jemand etwas Zeit hat, sich darum zu
kümmern, wäre das wirklich hilfreich.
Grüße,
Andi
Reply to: