Bug 32255 - [security] обновить версию
Summary: [security] обновить версию
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: tcpdump (show other bugs)
Version: unstable
Hardware: all Linux
: P3 major
Assignee: Arseny Maslennikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2016-07-07 17:39 MSK by Anton Zivzah
Modified: 2019-06-19 02:10 MSK (History)
8 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Anton Zivzah 2016-07-07 17:39:25 MSK 
Обновить версию до 4.7.4
Comment 1 Pavel Nakonechnyi 2017-02-05 22:12:05 MSK 
(In reply to comment #0)
> Обновить версию до 4.7.4

Собрал 4.9.0 в задании #177676.
Comment 2 Anton Zivzah 2017-02-06 18:46:00 MSK 
Обновился из #177676, новый tcpdump работает
Comment 3 Pavel Nakonechnyi 2017-02-21 17:01:51 MSK 
Для архива.

Список CVE в новейших версиях tcpdump: https://www.debian.org/security/2017/dsa-3775
Comment 4 Pavel Nakonechnyi 2017-09-02 17:59:04 MSK 
Для архива.

В #187766 версия 4.9.1. В ней очередной CVE исправлен: CVE-2017-11108
Comment 5 Michael Shigorin 2017-09-15 18:47:44 MSK 
4.9.2 включает парочку [R]CE даже относительно 4.9.1:
http://seclists.org/oss-sec/2017/q3/440

При этом:

$ ssh git.alt acl sisyphus tcpdump show
tcpdump ldv

Может, пора перевесить на @nobody?
Comment 6 Dmitry V. Levin 2017-09-16 00:38:58 MSK 
(In reply to comment #5)
> 4.9.2 включает парочку [R]CE даже относительно 4.9.1:
> http://seclists.org/oss-sec/2017/q3/440

А сколько их там ещё в 4.9.2 осталось?

> При этом:
> 
> $ ssh git.alt acl sisyphus tcpdump show
> tcpdump ldv
> 
> Может, пора перевесить на @nobody?

А зачем?
Comment 7 Pavel Nakonechnyi 2017-09-16 13:30:19 MSK 
Для архива.

В #188257 версия 4.9.2.

(In reply to comment #5)
> 4.9.2 включает парочку [R]CE даже относительно 4.9.1:
> http://seclists.org/oss-sec/2017/q3/440

всего порядка 90 CVE исправлено.
Comment 8 Dmitry V. Levin 2017-09-16 14:13:57 MSK 
(In reply to comment #7)
> Для архива.
> 
> В #188257 версия 4.9.2.

Понакоммитили! :)

> commit b278a1fe3eeed362c253e48442352059617f83be
> Author: Pavel Nakonechnyi <zorg@altlinux.org>
> Date:   Sun Feb 5 16:46:57 2017 +0100
> remove libpcap-0.9.4-nmap-alt-owl-linux-honor-timeout.patch

Почему?

> commit f6e75778e1f2970d9f5f5bab56c437b23a12d403
> Author: Pavel Nakonechnyi <zorg@altlinux.org>
> Date:   Sun Feb 5 17:02:27 2017 +0100
> Makefile.in: fix man(5)-pages install

Зачем так сложно?

> commit f91e0566b9bf8cb6941fa2685d2accc7ff635229
> Author: Pavel Nakonechnyi <zorg@altlinux.org>
> Date:   Sun Feb 5 18:32:47 2017 +0100
> get rid of RPATH

Зачем, если make V_RPATH_OPT= достаточно?

> (In reply to comment #5)
> > 4.9.2 включает парочку [R]CE даже относительно 4.9.1:
> > http://seclists.org/oss-sec/2017/q3/440
> 
> всего порядка 90 CVE исправлено.

В вашем 4.9.2-alt1 содержатся merge-коммиты с неочевидными и, на мой взгляд, не совсем правильными изменениями.  Что вы предлагаете с этим делать?
Comment 9 Pavel Nakonechnyi 2017-09-16 15:10:28 MSK 
(In reply to comment #8)
> > commit b278a1fe3eeed362c253e48442352059617f83be
> > Author: Pavel Nakonechnyi <zorg@altlinux.org>
> > Date:   Sun Feb 5 16:46:57 2017 +0100
> > remove libpcap-0.9.4-nmap-alt-owl-linux-honor-timeout.patch
> 
> Почему?
> 

Да, это я зря. Исправился, отправил в репо '/people/zorg/packages/libpcap.git' обновленный вариант.

> > commit f6e75778e1f2970d9f5f5bab56c437b23a12d403
> > Author: Pavel Nakonechnyi <zorg@altlinux.org>
> > Date:   Sun Feb 5 17:02:27 2017 +0100
> > Makefile.in: fix man(5)-pages install
> 
> Зачем так сложно?
> 

Там по всему Makefile.in именно таким образом проверяют на присутствие и создают директории. Поэтому добавлять опцию -D к install в этом месте или глобально не решился.

> > commit f91e0566b9bf8cb6941fa2685d2accc7ff635229
> > Author: Pavel Nakonechnyi <zorg@altlinux.org>
> > Date:   Sun Feb 5 18:32:47 2017 +0100
> > get rid of RPATH
> 
> Зачем, если make V_RPATH_OPT= достаточно?
> 

Спасибо, действительно, был неправ.

> > (In reply to comment #5)
> > > 4.9.2 включает парочку [R]CE даже относительно 4.9.1:
> > > http://seclists.org/oss-sec/2017/q3/440
> > 
> > всего порядка 90 CVE исправлено.
> 
> В вашем 4.9.2-alt1 содержатся merge-коммиты с неочевидными и, на мой взгляд, не
> совсем правильными изменениями.  Что вы предлагаете с этим делать?

Я попытался исправиться. :)
Comment 10 Pavel Nakonechnyi 2017-09-16 16:15:15 MSK 
(In reply to comment #9)
> > > commit f91e0566b9bf8cb6941fa2685d2accc7ff635229
> > > Author: Pavel Nakonechnyi <zorg@altlinux.org>
> > > Date:   Sun Feb 5 18:32:47 2017 +0100
> > > get rid of RPATH
> > 
> > Зачем, если make V_RPATH_OPT= достаточно?
> > 
> 
> Спасибо, действительно, был неправ.
> 

Не так просто оказалось... Изначально я похоже брал соответствующий патч от Fedora. Суть же в том, чтобы не дать pcap-config указывать настройку rpath. Я не догадался как V_RPATH_OPT отключить просто параметрами окружения к вызову configure/make, поэтому сейчас сделал минимальное изменение в сам pcap-config. Репозиторий '/people/zorg/packages/libpcap.git' опять обновлен.
Comment 11 Dmitry V. Levin 2019-06-19 02:10:48 MSK 
* Tue Jan 29 2019 Nikita Ermakov <arei@altlinux> 1:4.9.2-alt1
- Updated to 4.9.2.