Re: Bug en libgnutls
El Wed, 04 Jun 2014 13:33:46 -0300, Mauro Antivero escribió:
> El 04/06/14 13:25, Mauro Antivero escribió:
>> El 04/06/14 11:09, Guido Ignacio escribió:
(...)
>>> Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1]
>>>
>>> Más info [2]
> Pido mis disculpas, el mail que acabo de mandar estaba incompleto. Acá
> va completo.
>>>
>>> [1] https://security-tracker.debian.org/tracker/CVE-2014-3466
> Bien, acá dice que el paquete gnutls26 para Debian Squeeze es vulnerable
> hasta la versión squeeze3 y que deja de ser vulnerable en la versión
> squeeze4. En resumen, Squeeze sería vulnerable si no actualizamos.
Del paquete de la versión oldstable (squeeze) no han dicho nada.
> Pero si seguimos el link a donde lleva DSA-2944-2 allí dice que Old
> Stable (osea Squeeze) no es vulnerable, al igual que Testing y Unstable
> y ahí es donde realmente me pierdo :S
>
> Alguien me podría aclarar esto por favor?
Puede ser que se hayan liado. A ver, aplicando la lógica, si la versión
oldsatble aún tiene mantenimiento de parches de seguridad y no lo han
sacado, una de dos:
1/ La versión del paquete de oldstable no se ve afectada
2/ Están preparando el paquete
No nos olvidemos que hay paquetes que son vulnerables y que están
pendientes de asignación:
https://security-tracker.debian.org/tracker/status/release/oldstable
https://security-tracker.debian.org/tracker/status/release/stable
>>> [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466
>>>
>>>
>>>
> Ahora si, completo con lo que había escrito antes, en donde pregunto
> como actualizar el paquete libgnutls en Squeeze (en el caso de que
> realmente haga falta, ya que sinceramente no termino de entender si hay
> que actualizar o no):
>
> Muchísimas gracias por esta info, muy clara.
>
> Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y
> luego de hacer un "aptitude update" la última versión que me aparece
> disponible es la "squeeze3".
>
> Tengo que instalar el paquete manualmente acaso o me estoy olvidando de
> algo?
No, tienes que esperar a que publiquen el paquete actualizado si es que
lo sacan.
Saludos,
--
Camaleón
Reply to: