Re: [GÜVENLİK] GnuPG için acil güvenlik duyurusu
Merhaba,
* Cafer Simsek [2006-12-10 02:11:13+0200]
> > * Recai Oktaş [2006-12-10 01:49:24+0200]
> >> * neyzen ben [2006-12-10 01:33:58+0200]
> >> > Öncelikle uyarınız için teşekkür ederim. Daha henüz "öğrenmekte olan" bir
> >> > Debian kullanıcısı olarak açığın nasıl bir açık olduğu ve ne gibi
> >> > sorunlara yol açabildiği üzerine daha ayrıntılı bilgi alabilirsem çok
> >> > sevinirim. Mesela: Sürümü yükselttikten sonra yeni bir anahtar alıp daha
> >> > önce şifrelediğimiz metinleri yeniden şifrelemek gerekli mi? Yukarıdaki
> >> > uyarı benim için pek açık değil.
> >>
> >> Hayır yeniden şifreleme yapmak gerekiyor. Haberde adresini verdiğim
> > ^^^^^^^^^^ gerekmiyor
> >
>
> Bir soru da ben sormak istiyorum müsaade ederseniz.
>
> CVE-2006-6235 için güncelleme Ubuntu depolarında 06.12.2006 tarihinde
> yayınlanmıştı[1]. Peki Debian neden geriden takip ediyor güvenlik
Verdiğiniz duyuruya göre o tarih 07.12.2006...
> güncellemelerini?
??? Debian paketinin güncelleme tarihi:
James Troup <james@nocrew.org> Thu, 7 Dec 2006 02:54:51 +0000
Bunun neresi geri? (Not: yukarıda adı geçen geliştirici aynı zamanda bir
Ubuntu üyesidir)
> Herhangi bir art niyetim yok yanlış anlaşılmasın sadece meraktan
> soruyorum. Debian'ı güvenlik ve kararlılık konusunda lider bir dağıtım
> olarak biliyordum.
>
> Benzer bir konu CVE-2006-5465 için de geçerli[2][3]. Burada bir olaya
> dikkat çekmek istiyorum: Debian kararlı sürümde PHP5 paketi olmadığı
> için CVE-2006-5465 için Ubuntu tarafında sadece PHP5 güncellemesi
> mevcutken Debian tarafında PHP4 için güncelleme var. Yani sorun aynı
> sorun olduğu için (her iki PHP sürümünü de etkilendiğinden) kafa
> karışıklığı yapmasın.
php4 değişiklik güncesine göre CVE-2006-5465 için güncelleme 4 Kasım'da
yapılmış (Ubuntu'da 2 Kasım)
php4 (4:4.4.4-4) unstable; urgency=high
* The "Evil 4's" release :-)
[ sean finney ]
* fix for SSL ciphers/contexts not being initialized properly
thanks to Theodor Milkov for finding this (closes: #348499).
[ Ondřej Surý ]
* SECURITY: include patch for html buffer overflows in ext/standard/html.c
Reference: CVE-2006-5465
Patch: 061-CVE-2006-5465_htmlentities.patch
Closes: #396764
-- sean finney <seanius@debian.org> Sat, 04 Nov 2006 19:58:55 +0100
Hülasa bu örnekler özelinde anormal bir durum yok ortada (güncellemeyi
yapanların para almadan çalışan gönüllü insanlar olduğunu da dikkate
alırsak; meselâ bakın yukarıdaki güncede #396764 nolu hata 2 Kasım'da
bildirilmiş ve bir gönüllü^W geliştirici 4 Kasım'da yamayı hazırlamış).
> [1] https://lists.ubuntu.com/archives/ubuntu-security-announce/2006-December/000448.html
> [2] https://lists.ubuntu.com/archives/ubuntu-security-announce/2006-November/000427.html
> [3] http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00302.html
--
roktas
Reply to: