19770 2009-04-25 21:48:27 +0400 Множественные ошибки безопасности: CVE-2008-6680, CVE-2009-1241, CVE-2009-1270, CVE-2009-1371, CVE-2009-1372 2009-07-22 10:06:40 +0400 1 1 4 Development Sisyphus clamav unstable all Linux CLOSED FIXED http://secunia.com/advisories/34566 security P3 blocker --- 1 crux asy asy asy ldv mike taf qa-sisyphus oldest_to_newest 90092 0 crux 2009-04-25 21:48:27 +0400 В clamav обнаружены несколько ошибок: CVE-2008-6680 - libclamav/pe.c in ClamAV before 0.95 allows remote attackers to cause a denial of service (crash) via a crafted EXE file that triggers a divide-by-zero error. CVE-2009-1241 - Unspecified vulnerability in ClamAV before 0.95 allows remote attackers to bypass detection of malware via a modified RAR archive. CVE-2009-1270 - libclamav/untar.c in ClamAV before 0.95 allows remote attackers to cause a denial of service (infinite loop) via a crafted TAR file that causes (1) clamd and (2) clamscan to hang. CVE-2009-1372 - Stack-based buffer overflow in the cli_url_canon function in libclamav/phishcheck.c in ClamAV before 0.95.1 allows remote attackers to cause a denial of service (application crash) and possibly execute arbitrary code via a crafted URL. CVE-2009-1371 - The CLI_ISCONTAINED macro in libclamav/others.h in ClamAV before 0.95.1 allows remote attackers to cause a denial of service (application crash) via a malformed file with UPack encoding. Upstream выпустил исправление в виде новой версии 0.95.1 93006 1 mike 2009-06-13 22:25:45 +0400 ping, уже 0.95.2. 2 asy: часом не собираешь для себя? 93450 2 asy 2009-06-22 09:06:35 +0400 Собираю. У Виктора есть проблема, связанная с выкладыванием в Сизиф: From: Victor Forsyuk <force@altlinux.org> Date: 17/04/09 18:45 > А что с ClamAV в Сизифе ? Я попробовал собрать 0.95.1 собрался без проблем. А чего б там быть проблемам. Соберется, конечно. Но на libclamav завязано энное количество програм в репозитарии, а тут очередная смена сонейма. Так как раньше собирать уже не дадут (с контролируемыми временными анметами). Делать финты с libclamav-compat - изврат абсолютный. А сесть за изучение gitарной сборки - нет пока ни времени, ни сил. 93475 3 asy 2009-06-22 15:27:12 +0400 2 Victor: давай я пособираю, пока у тебя руки до git дойдут ? 94922 4 mike 2009-07-20 14:48:05 +0400 (In reply to comment #2) > From: Victor Forsyuk <force@altlinux> > А сесть за изучение gitарной сборки - нет пока ни времени, ни сил. 2 force: дёргай, чем смогу -- помогу. 95056 5 asy 2009-07-22 09:18:59 +0400 0.95.2-alt1 в Сизифе. Фух... 95058 6 crux 2009-07-22 10:06:40 +0400 (В ответ на комментарий №5) > 0.95.2-alt1 в Сизифе. Фух... поздравляю всех :) p.s. подозреваю, что в ближайшее время будет ещё один релиз. :)