Re: Bug en libgnutls

To: debian-user-spanish@lists.debian.org
Subject: Re: Bug en libgnutls
From: Camaleón <noelamac@gmail.com>
Date: Wed, 4 Jun 2014 17:31:10 +0000 (UTC)
Message-id: <[🔎] pan.2014.06.04.17.31.10@gmail.com>
Reply-to: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
References: <[🔎] 538F217F.2070406@gmail.com> <[🔎] CA+wiXxjBTRBL44p2VyKUgVweYskkXQ9CvePFB4k3eNSyp8ZJBQ@mail.gmail.com> <[🔎] 538F4863.6030200@gmail.com> <[🔎] 538F4A6A.9070604@gmail.com>

El Wed, 04 Jun 2014 13:33:46 -0300, Mauro Antivero escribió:

> El 04/06/14 13:25, Mauro Antivero escribió:
>> El 04/06/14 11:09, Guido Ignacio escribió:

(...)

>>> Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1]
>>>
>>> Más info [2]
> Pido mis disculpas, el mail que acabo de mandar estaba incompleto. Acá
> va completo.
>>>
>>> [1] https://security-tracker.debian.org/tracker/CVE-2014-3466

> Bien, acá dice que el paquete gnutls26 para Debian Squeeze es vulnerable
> hasta la versión squeeze3 y que deja de ser vulnerable en la versión
> squeeze4. En resumen, Squeeze sería vulnerable si no actualizamos.

Del paquete de la versión oldstable (squeeze) no han dicho nada.

> Pero si seguimos el link a donde lleva DSA-2944-2 allí dice que Old
> Stable (osea Squeeze) no es vulnerable, al igual que Testing y Unstable
> y ahí es donde realmente me pierdo :S
> 
> Alguien me podría aclarar esto por favor?

Puede ser que se hayan liado. A ver, aplicando la lógica, si la versión 
oldsatble aún tiene mantenimiento de parches de seguridad y no lo han 
sacado, una de dos:

1/ La versión del paquete de oldstable no se ve afectada
2/ Están preparando el paquete

No nos olvidemos que hay paquetes que son vulnerables y que están 
pendientes de asignación:

https://security-tracker.debian.org/tracker/status/release/oldstable
https://security-tracker.debian.org/tracker/status/release/stable

>>> [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466
>>>
>>>
>>>
> Ahora si, completo con lo que había escrito antes, en donde pregunto
> como actualizar el paquete libgnutls en Squeeze (en el caso de que
> realmente haga falta, ya que sinceramente no termino de entender si hay
> que actualizar o no):
> 
> Muchísimas gracias por esta info, muy clara.
> 
> Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y
> luego de hacer un "aptitude update" la última versión que me aparece
> disponible es la "squeeze3".
> 
> Tengo que instalar el paquete manualmente acaso o me estoy olvidando de
> algo?

No, tienes que esperar a que publiquen el paquete actualizado si es que 
lo sacan.

Saludos,

-- 
Camaleón

Reply to:

References:
- Bug en libgnutls
  - From: Mauro Antivero <mauro.antivero@gmail.com>
- Re: Bug en libgnutls
  - From: Guido Ignacio <guidoignacio@gmail.com>
- Re: Bug en libgnutls
  - From: Mauro Antivero <mauro.antivero@gmail.com>
- Re: Bug en libgnutls
  - From: Mauro Antivero <mauro.antivero@gmail.com>

Prev by Date: Re: OpenVZ sobre Debian 7
Next by Date: Re: crear repositorio propio
Previous by thread: Re: Bug en libgnutls
Next by thread: Re: Bug en libgnutls
Index(es):
- Date
- Thread