13482 2007-11-21 09:57:17 +0300 Remote code execution 2008-05-23 19:27:36 +0400 1 1 3 Distributions Branch 4.0 clamav 4.0 all Linux CLOSED FIXED http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6029 P2 blocker --- 14167 1 vitty force ldv vvk qa-4.0 oldest_to_newest 58409 0 vitty 2007-11-21 09:57:20 +0300 Серьёзная ошибка в безопасности, насколько я понимаю надо фиксить срочно. http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6029 58432 1 force 2007-11-21 15:39:37 +0300 Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто кроме тех, кто ее обнаружил? 58435 2 vitty 2007-11-21 15:44:42 +0300 (In reply to comment #1) > Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто > кроме тех, кто ее обнаружил? Вам апстрим ближе, возможно что-то обсуждается? И ещё - уязвимы версии 0.91, про уязвимость 0.92rc ничего не сказано. Может стоит перейти на неё в бранче? 58438 3 force 2007-11-21 16:05:03 +0300 (In reply to comment #2) > (In reply to comment #1) > > Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто > > кроме тех, кто ее обнаружил? > > Вам апстрим ближе, возможно что-то обсуждается? Обсуждается. :) > И ещё - уязвимы версии 0.91, про уязвимость 0.92rc ничего не сказано. Из того, что ничего не сказано не следует, что эта версия не является уязвимой. Эксперты, которые выставили информацию об этой уязвимости на аукцион, всего лишь написали, что они проверили уязвимость на 0.91.1, а затем 0.91.2. > Может стоит перейти на неё в бранче? Не вижу смысла - нет гарантий что это устранит уязвимость. Я собирался перекладывать в бранч релиз, а не релиз-кандидат. Естественно, security-апдейт в бранч пойдет... 61995 4 ldv 2008-01-26 01:57:20 +0300 В Sisyphus clamav-0.92-alt1, в 4.0/branch clamav-0.91.2-alt1 62342 5 vvk 2008-01-31 09:29:37 +0300 Ну и где? force, ау 62395 6 force 2008-01-31 18:12:26 +0300 (In reply to comment #5) > Ну и где? force, ау Формальное требование о переносе из сизифа повешено в багзилу. 70480 7 force 2008-05-23 19:27:18 +0400 Закрываю баг, fixed.