[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [GÜVENLİK] GnuPG için acil güvenlik duyurusu

Merhaba,

* Cafer Simsek [2006-12-10 02:11:13+0200]
> > * Recai Oktaş [2006-12-10 01:49:24+0200]
> >> * neyzen ben [2006-12-10 01:33:58+0200]
> >> > Öncelikle uyarınız için teşekkür ederim. Daha henüz "öğrenmekte olan" bir
> >> > Debian kullanıcısı olarak açığın nasıl bir açık olduğu ve ne gibi
> >> > sorunlara yol açabildiği üzerine daha ayrıntılı bilgi alabilirsem çok
> >> > sevinirim.  Mesela: Sürümü yükselttikten sonra yeni bir anahtar alıp daha
> >> > önce şifrelediğimiz metinleri yeniden şifrelemek gerekli mi? Yukarıdaki
> >> > uyarı benim için pek açık değil.
> >> 
> >> Hayır yeniden şifreleme yapmak gerekiyor.  Haberde adresini verdiğim
> >                                 ^^^^^^^^^^ gerekmiyor
> >
> 
> Bir soru da ben sormak istiyorum müsaade ederseniz.
> 
> CVE-2006-6235 için güncelleme Ubuntu depolarında 06.12.2006 tarihinde
> yayınlanmıştı[1]. Peki Debian neden geriden takip ediyor güvenlik

Verdiğiniz duyuruya göre o tarih 07.12.2006...

> güncellemelerini?

???  Debian paketinin güncelleme tarihi:

    James Troup <james@nocrew.org>  Thu,  7 Dec 2006 02:54:51 +0000

Bunun neresi geri?  (Not: yukarıda adı geçen geliştirici aynı zamanda bir
Ubuntu üyesidir)

> Herhangi bir art niyetim yok yanlış anlaşılmasın sadece meraktan
> soruyorum. Debian'ı güvenlik ve kararlılık konusunda lider bir dağıtım
> olarak biliyordum.
>
> Benzer bir konu CVE-2006-5465 için de geçerli[2][3]. Burada bir olaya
> dikkat çekmek istiyorum: Debian kararlı sürümde PHP5 paketi olmadığı
> için CVE-2006-5465 için Ubuntu tarafında sadece PHP5 güncellemesi
> mevcutken Debian tarafında PHP4 için güncelleme var. Yani sorun aynı
> sorun olduğu için (her iki PHP sürümünü de etkilendiğinden) kafa
> karışıklığı yapmasın.

php4 değişiklik güncesine göre CVE-2006-5465 için güncelleme 4 Kasım'da
yapılmış (Ubuntu'da 2 Kasım)

 php4  (4:4.4.4-4) unstable; urgency=high

   * The "Evil 4's" release :-)
 
   [ sean finney ]
   * fix for SSL ciphers/contexts not being initialized properly
     thanks to Theodor Milkov for finding this (closes: #348499).
 
   [ Ondřej Surý ]
   * SECURITY: include patch for html buffer overflows in ext/standard/html.c
     Reference: CVE-2006-5465
     Patch: 061-CVE-2006-5465_htmlentities.patch
     Closes: #396764

   -- sean finney <seanius@debian.org>  Sat, 04 Nov 2006 19:58:55 +0100

Hülasa bu örnekler özelinde anormal bir durum yok ortada (güncellemeyi
yapanların para almadan çalışan gönüllü insanlar olduğunu da dikkate
alırsak; meselâ bakın yukarıdaki güncede #396764 nolu hata 2 Kasım'da
bildirilmiş ve bir gönüllü^W geliştirici 4 Kasım'da yamayı hazırlamış).

> [1] https://lists.ubuntu.com/archives/ubuntu-security-announce/2006-December/000448.html
> [2] https://lists.ubuntu.com/archives/ubuntu-security-announce/2006-November/000427.html
> [3] http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00302.html

-- 
roktas
Reply to: